USG / USG FLEX / ATP / VPN - Comment autoriser l'accès à l'interface Web HTTPS depuis le WAN ?

Cet article donne un aperçu concis de l'activation de l'accès sécurisé HTTPS à l'interface graphique Web de gestion de votre dispositif de sécurité sur le réseau étendu (WAN). Pour ce faire, connectez-vous à l'interface graphique Web à l'aide de l'adresse IP du dispositif et connectez-vous à l'aide du compte Administrateur et du mot de passe correspondant.

Autoriser l'accès à distance via les objets par défaut :

Configuration > Object > Service > Service Group > Default_Allow_WAN_To_ZyWALL > Edit

Choisissez HTTPS, cliquez sur la flèche marquée et ensuite sur "OK".

Vous pouvez maintenant accéder à votre dispositif de sécurité via son interface WAN.

Par exemple : https://5.234.65.17

Meilleure pratique pour un accès sécurisé :

Il est généralement conseillé de sécuriser davantage l'accès à distance via le réseau étendu afin d'éviter que des acteurs malveillants ne jouent un mauvais rôle. Nous allons voir comment procéder.

Changer le port HTTPS :

Configuration > System > WWW > Service Control

Veuillez changer le port HTTPS par quelque chose d'autre.

Par exemple, 8443

Cliquez ensuite sur "Appliquer" en bas de la page.

Création d'un objet séparé pour l'accès à distance

Configuration > Object > Service > Service > Add

Nous devons maintenant créer un nouvel objet distinct pour le port de service HTTPS.

1. Nom : "Your Service Name" (Nom de votre service)
2. Protocole IP : TCP
3. Port de départ : "Port HTTPS de l'étape précédente".
4. Cliquez sur "OK"

Création d'une règle distincte pour l'accès à distance

Configuration > Security Policy > Policy Control > Policy > Add

Nous devons maintenant créer une nouvelle règle distincte :

1. Nom : "Nom de votre règle" (Conseil : utilisez des "noms parlants")
2. De : WAN
3. Vers : ZyWall
4. Service : "Votre objet HTTPS"
5. Action : autoriser
6. Cliquer sur "OK"

Limiter l'accès

Nous pouvons et devons maintenant limiter l'accès à l'interface Web. Une façon d'y parvenir est de n'autoriser que certaines adresses IP de confiance.

Configuration > Object > Address/Geo IP > Address > Add

Tout d'abord, nous devons créer un objet avec une adresse IP de confiance.

Si votre homologue de confiance n'a pas d'adresse IP publique statique, vous pouvez utiliser des objets FQDN avec un DDNS.

(Même procédure, choisir FQDN au lieu de Host)

1. Nom : "Nom de l'objet" (Conseil : utiliser des "noms parlants")
2. Type d'adresse : HÔTE
3. Adresse IP : IP de confiance
4. Cliquez sur "OK"

Configuration > Object > Address/Geo IP > Address Group > Add

Nous devons maintenant créer un groupe pour l'objet afin d'ajouter plusieurs IP/FQDN sans créer une nouvelle politique de sécurité pour chacun d'entre eux.

1. Nom : "Your Group Name" (Conseil : Utilisez des "Speaking Names")
2. Type d'adresse : Choisissez "Address" (Si vous utilisez FQDN -> "FQDN")
3. Liste des membres : Choisissez le(s) objet(s) que vous avez créé(s) précédemment
4. Cliquez sur la flèche "->".
5. Cliquez sur "OK"

Configuration > Security Policy > Policy Control > Policy > Choose Policy > Edit

Maintenant, nous devons ajouter notre groupe en tant que source pour la politique de sécurité que nous avons créée précédemment.

1. Source : Choisissez le groupe IP/FQDN
2. Cliquez sur "OK"
3. Cliquez sur "Apply" en bas de la page.

Autres types

Vous pouvez également bloquer un pays ou une région complète à l'aide de notre fonction GeoIP :

Comment utiliser la fonction Geo-IP

Accès à distance à des fins d'assistance

Si l'un de nos agents demande un accès à distance, vous pouvez limiter l'accès à nos adresses IP publiques officielles :

(HQ)
118.163.48.105
1.161.171.96
1.161.154.129
(Support Campus DE)
93.159.250.200