Avviso importante: |
Questo articolo contiene una breve introduzione all'accesso sicuro HTTPS alla GUI di gestione del dispositivo Security USG FLEX H Series tramite WAN.
Disclaimer! Questo articolo offre una panoramica generale della serie e potrebbe non essere applicabile in modo uniforme a ogni modello e versione software/firmware. Prima di acquistare o utilizzare il dispositivo, consultare la documentazione specifica del modello/versione o contattare il supporto tecnico per ottenere informazioni precise.
Nota: concedere l'accesso solo agli indirizzi IP elencati alla fine dell'articolo se richiesto dal supporto tecnico.
Consentire l'accesso remoto sugli oggetti predefiniti
- Il primo passo consiste nell'aggiungere il protocollo HTTPS per consentire l'accesso dalla WAN.
Spostarsi nella sezione del menu di sinistra:
Oggetto > Servizio > Gruppo di servizi > Default_Allow_WAN_To_ZyWALL > Modifica- Selezionare il protocollo HTTPS dall'elenco e utilizzare il pulsante appropriato per spostarlo su Consentito, come mostrato nella figura seguente.
- È molto importante non dimenticare di premere il pulsante "Applica" dopo aver apportato le modifiche alle impostazioni del dispositivo.
È quindi possibile accedere al dispositivo di sicurezza tramite l'interfaccia WAN. Tuttavia, si consiglia vivamente di modificare la porta e di limitare l'accesso al dispositivo solo da determinati indirizzi IP affidabili.
Le migliori pratiche per un accesso sicuro
-
Modifica della porta HTTPS
Andare a > Sistema > Impostazioni > Impostazioni di amministrazione- Modificare la porta HTTPS. Ad esempio 8443
- Successivamente, fare clic su "Applica" in fondo alla pagina.
-
Creare un oggetto separato per l'accesso remoto
È molto importante non dimenticare di premere il pulsante "Applica" dopo aver apportato le modifiche alle impostazioni del dispositivo.
- Creare una regola separata per l'accesso remoto
- Nome: "Nome della regola" (consiglio: utilizzare "Nomi parlanti")
- Da: "WAN"
- A: "ZyWall"
- Servizio: "Il vostro oggetto HTTPS"
- Azione: "Consenti"
- Fare clic su "Applica".
Limitare l'accesso
È molto importante garantire la massima sicurezza della rete locale e quindi è necessario limitare l'accesso all'interfaccia web. Un modo per farlo è quello di consentire solo alcuni indirizzi IP affidabili.
Andare a > Oggetto > Indirizzo > Aggiungi- Per prima cosa, è necessario creare un oggetto con un IP attendibile.
- Se il peer attendibile non dispone di un IP pubblico statico, è possibile utilizzare oggetti FQDN con un DDNS. (Stessa procedura, scegliendo FQDN invece di Host).
Nota: l'oggetto FQDN sarà supportato nel 2024 Q3.
- Nome: "Nome dell'oggetto" (consiglio: usare "Nomi parlanti")
- Tipo di indirizzo: "HOST
- Indirizzo IP: "IP attendibile".
- Fare clic su "Applica".
Se si dispone di più indirizzi e in generale per semplificare l'amministrazione, è necessario creare un "Gruppo di indirizzi" per aggiungere più IP/FQDN senza creare un nuovo Criterio di sicurezza per ognuno di essi
Andare a > Oggetto > Indirizzo > Gruppo di indirizzi > Aggiungi- Nome: "Nome del gruppo" (consiglio: usare "Nomi parlanti")
- Tipo di indirizzo: Scegliete "Indirizzo" (se usate FQDN -> "FQDN")
- Elenco membri: Scegliere l'oggetto o gli oggetti creati in precedenza
- Fare clic sulla freccia "->".
- Fare clic su "Applica".
- Ora dobbiamo aggiungere il nostro gruppo come origine per il criterio di sicurezza che abbiamo creato in precedenza
Go to > Security Policy > Policy Control
- Selezionare il criterio desiderato e fare clic su "Modifica".
- Origine: Scegliere il gruppo IP/Gruppo FQDN
- Fare clic su "Applica" in fondo alla pagina
Altri tipi
È inoltre possibile bloccare un intero Paese o una regione utilizzando la funzione GeoIP:
Come utilizzare la funzione Geo-IP
Accesso remoto per scopi di assistenza
Nel caso in cui uno dei nostri agenti richieda un accesso remoto, potete limitare l'accesso ai nostri IP pubblici ufficiali:
(HQ)
61.222.75.14
61.220.247.157
61.220.247.158
61.220.247.160
(Supporto Campus DE)
93.159.250.200