USG / USG FLEX / ATP / VPN - Come consentire l'accesso alla GUI Web HTTPS dalla WAN?

Creato 19 luglio 2021 09:00 - Aggiornato 16 giugno 2025 09:06

Serhii Boiarynov

Avviso importante:
Gentile cliente, si prega di notare che utilizziamo la traduzione automatica per fornire articoli nella vostra lingua locale. Non tutto il testo può essere tradotto accuratamente. In caso di dubbi o discrepanze sull'accuratezza delle informazioni contenute nella versione tradotta, si prega di consultare l'articolo originale qui:Versione originale

Questo articolo fornisce una panoramica concisa sull'abilitazione dell'accesso sicuro HTTPS alla GUI Web di gestione del dispositivo di sicurezza attraverso la WAN. Per procedere, collegarsi alla GUI Web utilizzando l'indirizzo IP del dispositivo e accedere con l'account Amministratore e la relativa password.

Consentire l'accesso remoto agli oggetti predefiniti:

Configuration > Object > Service > Service Group > Default_Allow_WAN_To_ZyWALL > Edit

Scegliere HTTPS, fare clic sulla freccia contrassegnata e quindi su "OK".

Ora è possibile accedere al dispositivo di sicurezza attraverso la sua interfaccia WAN.

Ad esempio, https://5.234.65.17

Buone pratiche per un accesso sicuro:

In generale, è buona norma proteggere ulteriormente l'accesso remoto tramite WAN per evitare il gioco sporco di malintenzionati. Vediamo come fare.

Cambiare la porta HTTPS:

Configuration > System > WWW > Service Control

Cambiare la porta HTTPS con un'altra.

Ad esempio 8443

Successivamente, fare clic su "Applica" in fondo alla pagina.

Creare un oggetto separato per l'accesso remoto

Configuration > Object > Service > Service > Add

Ora è necessario creare un nuovo oggetto separato per la porta del servizio HTTPS.

Nome: "Nome del servizio".
Protocollo IP: TCP
Porta iniziale: "Porta HTTPS del passo precedente".
Fare clic su "OK".

Creare una regola separata per l'accesso remoto

Configuration > Security Policy > Policy Control > Policy > Add

Ora è necessario creare una nuova regola separata:

Nome: "Il vostro nome di regola" (consiglio: usate "Nomi parlanti")
Da: WAN
A: ZyWall
Servizio: "Il vostro oggetto HTTPS"
Azione: consentire
Fare clic su "OK".

Limitare l'accesso

Ora possiamo e dobbiamo limitare l'accesso all'interfaccia Web. Un modo per farlo è quello di consentire solo alcuni indirizzi IP affidabili.

Configuration > Object > Address/Geo IP > Address > Add

Per prima cosa, è necessario creare un oggetto con un IP attendibile.

Se il peer attendibile non dispone di un IP pubblico statico, è possibile utilizzare oggetti FQDN con un DDNS.

(Stessa procedura, scegliendo FQDN invece di Host).

Nome: "Nome dell'oggetto" (consiglio: usare "Nomi parlanti")
Tipo di indirizzo: OSPITE
Indirizzo IP: IP attendibile
Fare clic su "OK".

Configuration > Object > Address/Geo IP > Address Group > Add

Ora dobbiamo creare un Gruppo per l'Oggetto per aggiungere più IP/FQDN senza creare un nuovo Criterio di sicurezza per ciascuno.

Nome: "Il vostro nome di gruppo" (consiglio: usare "Nomi parlanti")
Tipo di indirizzo: Scegliere "Indirizzo" (se si usa FQDN -> "FQDN")
Elenco membri: Scegliere l'oggetto o gli oggetti creati in precedenza
Fare clic sulla freccia "->
Fare clic su "OK".

Configuration > Security Policy > Policy Control > Policy > Choose Policy > Edit

Ora dobbiamo aggiungere il nostro gruppo come origine per il criterio di sicurezza creato in precedenza.

Origine: Scegliere il Gruppo IP/Gruppo FQDN
Fare clic su "OK".
Fare clic su "Applica" in fondo alla pagina.

Altri tipi

È anche possibile bloccare un intero Paese o una regione utilizzando la funzione GeoIP:

Come utilizzare la funzione Geo-IP

Accesso remoto per scopi di supporto

Nel caso in cui uno dei nostri agenti richieda un accesso remoto, è possibile limitare l'accesso ai nostri IP pubblici ufficiali:

(HQ)
118.163.48.105
1.161.171.96
1.161.154.129
(Supporto Campus DE)
93.159.250.200