Belangrijke mededeling: |
Dit artikel geeft een korte introductie tot HTTPS-beveiligde toegang tot de Management Web GUI van uw Security USG FLEX H Series apparaat via het WAN.
Disclaimer! Dit artikel biedt een algemeen overzicht van de serie en is mogelijk niet uniform van toepassing op elk model, software/firmwareversie. Raadpleeg voor aanschaf of gebruik van het apparaat de model-/versiespecifieke documentatie of neem contact op met de technische ondersteuning voor de juiste informatie.
Opmerking: Verleen alleen toegang tot de IP-adressen die aan het einde van het artikel worden genoemd als de technische ondersteuning hierom vraagt.
Toegang op afstand verlenen via de standaardobjecten
- De eerste stap is het toevoegen van het HTTPS-protocol om toegang vanaf het WAN mogelijk te maken.
Navigeer naar de sectie in het linker menu:
Object > Service > Service Groep > Standaard_WAN_To_ZyWALL toestaan > Bewerken- Selecteer het HTTPS-protocol in de lijst en gebruik de juiste knop om het te verplaatsen naar Toegestaan, zoals weergegeven in de afbeelding hieronder.
- Het is heel belangrijk dat u niet vergeet op de knop "Toepassen" te drukken nadat u wijzigingen hebt aangebracht in de apparaatinstellingen.
U hebt dan toegang tot uw beveiligingsapparaat via de WAN-interface. Maar we raden je sterk aan om de poort te wijzigen en de toegang tot je apparaat te beperken tot bepaalde vertrouwde IP-adressen.
Beste praktijk voor veilige toegang
-
De HTTPS-poort wijzigen
Ga naar > Systeem > Instellingen > Administratieve instellingen- Wijzig de HTTPS-poort. Bijv. 8443
- Klik daarna op "Toepassen" onder aan de pagina.
-
Een afzonderlijk object maken voor externe toegang
Het is heel belangrijk om niet te vergeten op de knop "Toepassen" te drukken nadat je wijzigingen hebt aangebracht in de instellingen van het apparaat.
- Een aparte regel maken voor externe toegang
- Naam: "Uw regelnaam" (Advies: Gebruik "Sprekende namen")
- Van: "WAN"
- Naar: "ZyWall"
- Dienst: "Uw HTTPS-object".
- Actie: "allow"
- Klik op "Toepassen".
Toegang beperken
Het is heel belangrijk om het lokale netwerk maximaal te beveiligen en daarom is het noodzakelijk om de toegang tot de webinterface te beperken. Een manier om dit te doen is om alleen bepaalde vertrouwde IP-adressen toe te laten.
Ga naar > Object > Adres > Toevoegen- Eerst moeten we een object maken met een vertrouwd IP-adres.
- Als je vertrouwde peer geen statisch publiek IP-adres heeft, kun je FQDN-objecten met een DDNS gebruiken. (Zelfde procedure, kies FQDN in plaats van Host)
Opmerking: we ondersteunen het FQDN-object in 2024 Q3.
- Naam: "Naam van het object" (Advies: gebruik "Sprekende namen")
- Type adres: "HOST".
- IP-adres: "Vertrouwde IP".
- Klik op "Toepassen".
Als je meerdere adressen hebt en in het algemeen om het beheer te vereenvoudigen, is het nodig om een "Adresgroep" aan te maken om meerdere IP's/FQDN's toe te voegen zonder voor elk adres een nieuw beveiligingsbeleid aan te maken
Ga naar > Object > Adres > Adresgroep > Toevoegen- Naam: "Uw groepsnaam" (Advies: gebruik "Sprekende namen")
- Type adres: Kies "Adres" (Als u FQDN gebruikt -> "FQDN")
- Ledenlijst: Kies de Objecten die je eerder hebt gemaakt
- Klik op de "->" pijl
- Klik op "Toepassen".
- Nu moeten we onze groep toevoegen als bron voor het beveiligingsbeleid dat we eerder hebben gemaakt
Go to > Security Policy > Policy Control
- Selecteer het gewenste beleid en klik op "Bewerken
- Bron: Kies de IP-groep/FQDN-groep
- Klik op "Toepassen" onderaan de pagina
Andere typen
Je kunt ook een compleet land of regio blokkeren met onze GeoIP-functie:
Hoe de Geo-IP-functie te gebruiken
Toegang op afstand voor ondersteuningsdoeleinden
In het geval dat een van onze Agents vraagt om toegang op afstand, kunt u de toegang beperken tot onze officiële publieke IP's:
(HQ)
61.222.75.14
61.220.247.157
61.220.247.158
61.220.247.160
(Ondersteuning Campus DE)
93.159.250.200