USG FLEX H -sarja [Palomuuri] - Miten sallitaan HTTPS-verkkokäyttöliittymän käyttö WANista?

Tässä artikkelissa otetaan lyhyt johdanto HTTPS Secure Access -yhteys Security USG FLEX H -sarjan laitteen hallintaverkkokäyttöliittymään WANin kautta.

Vastuuvapauslauseke! Tämä artikkeli tarjoaa yleisen yleiskatsauksen sarjasta, eikä se välttämättä koske yhdenmukaisesti jokaista mallia, ohjelmisto-/firmware-versiota. Ennen laitteen ostamista tai käyttöä tutustu malli-/versiokohtaiseen dokumentaatioon tai ota yhteyttä tekniseen tukeen tarkkojen tietojen saamiseksi.

Huomautus: Myönnä käyttöoikeus vain artikkelin lopussa luetelluille IP-osoitteille, jos tekninen tuki sitä pyytää.

Etäkäytön salliminen oletuskohteiden kautta

• Ensimmäisenä vaiheena on lisätä HTTPS-protokolla, jotta pääsy WAN-verkosta voidaan sallia.

Siirry vasemmanpuoleisessa valikossa olevaan osioon:

Object > Service > Service Group > Default_Allow_WAN_To_ZyWALL > Muokkaa

• Valitse HTTPS-protokolla luettelosta ja siirrä se sopivalla painikkeella kohtaan Sallittu, kuten alla olevassa kuvassa näkyy.

• On erittäin tärkeää, ettet unohda painaa "Apply"-painiketta, kun olet tehnyt muutoksia laitteen asetuksiin.

Tämän jälkeen voit käyttää turvalaitettasi sen WAN-liitännän kautta. Suosittelemme kuitenkin, että muutat porttia ja rajoitat pääsyn laitteeseen vain tietyistä luotettavista IP-osoitteista.

Parhaat käytännöt turvallista pääsyä varten

• HTTPS-portin muuttaminen

Siirry kohtaan > Järjestelmä > Asetukset > Hallinta-asetukset

• Muuta HTTPS-porttia. Esim. 8443
• Napsauta sen jälkeen "Apply" (Käytä) sivun alareunassa.

• Erillisen objektin luominen etäyhteyttä varten

On erittäin tärkeää, ettet unohda painaa "Apply"-painiketta, kun olet tehnyt muutoksia laitteen asetuksiin.

• Erillisen säännön luominen etäkäyttöä varten

• Nimi: "(Neuvo: Käytä "puhuvia nimiä").
• From: "WAN"
• To: "ZyWall"
• Palvelu: "HTTPS-kohteesi"
• Toiminta: "allow"
• Klikkaa "Apply"

Pääsyn rajoittaminen

On erittäin tärkeää, että paikallisverkko on mahdollisimman turvallinen, ja siksi on tarpeen rajoittaa pääsyä verkkokäyttöliittymään. Yksi tapa toteuttaa tämä on sallia vain tietyt luotetut IP-osoitteet.

Siirry kohtaan > Kohde > Osoite > Lisää

• Ensin on luotava objekti, jolla on luotettu IP-osoite.
• Jos luotettavalla vertaisohjelmalla ei ole staattista julkista IP-osoitetta, voit käyttää FQDN-objekteja DDNS:n kanssa. (Sama menettely, mutta valitse FQDN Hostin sijasta).

Huomautus: Tuemme FQDN-objektia vuonna 2024 Q3.

• Nimi: "Kohteen nimi" (Neuvo: Käytä "Puhuvat nimet").
• Osoitetyyppi: "HOST"
• IP-osoite: "Trusted IP"
• Napsauta "Apply" (Käytä)

Jos sinulla on useita osoitteita ja yleensä hallinnon yksinkertaistamiseksi on tarpeen luoda "Osoiteryhmä", jotta voit lisätä useita IP-osoitteita/FQDN:iä luomatta uutta suojauskäytäntöä kullekin.

Siirry kohtaan > Object > Address > Address Group > Add (Kohde > Osoite > Osoiteryhmä > Lisää

• Nimi: "Ryhmäsi nimi" (Neuvo: Käytä "puhuttelevia nimiä").
• Osoitetyyppi: Valitse "Osoite" (Jos käytät FQDN:ää -> "FQDN").
• Jäsenluettelo: Valitse aiemmin luomasi objekti(t)
• Napsauta "->" -nuolta
• Klikkaa "Apply"

• Nyt meidän on lisättävä ryhmämme aiemmin luodun turvallisuuskäytännön lähteeksi.

• Valitse haluamasi käytäntö ja napsauta "Muokkaa"

• Lähde: Valitse IP-ryhmä/FQDN-ryhmä
• Napsauta "Apply" (Käytä) sivun alareunassa.

Muut tyypit

Voit myös estää kokonaisen maan tai alueen käyttämällä GeoIP-toimintoa:
Geo-IP-toiminnon käyttöohjeet

Etäkäyttö tukitarkoituksiin

Jos joku edustajistamme pyytää etäkäyttöä, voit rajoittaa pääsyn virallisiin julkisiin IP-osoitteisiimme:

(HQ)
61.222.75.14
61.220.247.157
61.220.247.158
61.220.247.160
(Tukikampus DE)
93.159.250.200