USG FLEX H -sarja [Palomuuri] - Miten sallitaan HTTPS-verkkokäyttöliittymän käyttö WANista?

Tässä artikkelissa otetaan lyhyt johdanto HTTPS Secure Access -yhteys Security USG FLEX H -sarjan laitteen hallintaverkkokäyttöliittymään WANin kautta.

Vastuuvapauslauseke! Tämä artikkeli tarjoaa yleisen yleiskatsauksen sarjasta, eikä se välttämättä koske yhdenmukaisesti jokaista mallia, ohjelmisto-/firmware-versiota. Ennen laitteen ostamista tai käyttöä tutustu malli-/versiokohtaiseen dokumentaatioon tai ota yhteyttä tekniseen tukeen tarkkojen tietojen saamiseksi.

Huomautus: Myönnä käyttöoikeus vain artikkelin lopussa luetelluille IP-osoitteille, jos tekninen tuki sitä pyytää.

Etäkäytön salliminen oletuskohteiden kautta

• Ensimmäisenä vaiheena on lisätä HTTPS-protokolla, jotta pääsy WAN-verkosta voidaan sallia.

Siirry vasemmanpuoleisessa valikossa olevaan osioon:

Object > Service > Service Group > Default_Allow_WAN_To_ZyWALL > Muokkaa.

• Valitse HTTPS-protokolla luettelosta ja siirrä se sopivalla painikkeella kohtaan Sallittu, kuten alla olevassa kuvassa näkyy.

• On erittäin tärkeää, ettet unohda painaa"Apply"-painiketta, kun olet tehnyt muutoksia laitteen asetuksiin.

Tämän jälkeen voit käyttää turvalaitettasi sen WAN-liitännän kautta. Suosittelemme kuitenkin, että muutat portin ja rajoitat pääsyn laitteeseen vain tietyistä luotettavista IP-osoitteista.

Parhaat käytännöt turvallista pääsyä varten

• HTTPS-portin muuttaminen

Siirry osoitteeseen > Järjestelmä > Asetukset > Hallinta-asetukset

• Muuta HTTPS-porttia. Esim. 8443
• Napsauta sen jälkeen"Apply" (Käytä) sivun alareunassa.

• Erillisen objektin luominen etäkäyttöä varten

On erittäin tärkeää, ettet unohda painaa "Apply"-painiketta, kun olet tehnyt muutoksia laitteen asetuksiin.

• Erillisen säännön luominen etäkäyttöä varten

• Nimi: "(Neuvo: Käytä "puhuvia nimiä").
• From:"WAN"
• To:"ZyWall"
• Palvelu:"HTTPS-kohteesi"
• Toiminta:"allow"
• Klikkaa"Apply"

Pääsyn rajoittaminen

On erittäin tärkeää, että paikallisverkko on mahdollisimman turvallinen, ja siksi on tarpeen rajoittaa pääsyä verkkokäyttöliittymään. Yksi tapa toteuttaa tämä on sallia vain tietyt luotetut IP-osoitteet.

Siirry kohtaan > Kohde > Osoite > Lisää

• Ensin on luotava objekti, jolla on luotettu IP-osoite.
• Jos luotettavalla vertaisohjelmalla ei ole staattista julkista IP-osoitetta, voit käyttää FQDN-objekteja DDNS:n kanssa. (Sama menettely, mutta valitse FQDN Hostin sijasta).

Huomautus: Tuemme FQDN-objektia vuonna 2024 Q3.

• Nimi:"Kohteen nimi" (Neuvo: Käytä "Puhuvat nimet").
• Osoitetyyppi:"HOST"
• IP-osoite:"Trusted IP"
• Napsauta"Apply" (Käytä)

Jos sinulla on useita osoitteita ja yleensä hallinnon yksinkertaistamiseksi on tarpeen luoda "Osoiteryhmä", jotta voit lisätä useita IP-osoitteita/FQDN:iä luomatta uutta suojauskäytäntöä kullekin.

Siirry kohtaan > Object > Address > Address Group > Add (Kohde > Osoite > Osoiteryhmä > Lisää).

• Nimi:"Ryhmäsi nimi" (Neuvo: Käytä "puhuttelevia nimiä").
• Osoitetyyppi: Valitse"Osoite"(Jos käytät FQDN:ää -> "FQDN").
• Jäsenluettelo: Valitse aiemmin luomasi objekti(t)
• Napsauta "->" -nuolta
• Klikkaa"Apply"

• Nyt meidän on lisättävä ryhmämme aiemmin luodun turvallisuuskäytännön lähteeksi.

Go to > Security Policy > Policy Control

• Valitse haluamasi käytäntö ja napsauta "Muokkaa"

• Lähde: Valitse IP-ryhmä/FQDN-ryhmä
• Napsauta"Apply" (Käytä) sivun alareunassa.

Muut tyypit

Voit myös estää kokonaisen maan tai alueen GeoIP-toiminnolla:
Geo-IP-toiminnon käyttäminen

Etäkäyttö tukitarkoituksiin

Jos joku edustajistamme pyytää etäkäyttöä, voit rajoittaa pääsyn virallisiin julkisiin IP-osoitteisiimme: (HQ).
1.161.171.96
61.222.75.14
61.220.247.157
61.220.247.158
61.220.247.160
(Tukikampus DE)
93.159.250.200