USG FLEX H Series [Brannmur] - Hvordan tillate HTTPS Web GUI-tilgang fra WAN?

Denne artikkelen gir en kort introduksjon til HTTPS-sikker tilgang til nettbrukergrensesnittet for administrasjon av Security USG FLEX H-serien over WAN.

Ansvarsfraskrivelse! Denne artikkelen gir en generell oversikt over serien og gjelder ikke nødvendigvis for alle modeller og programvare-/firmwareversjoner .Før du kjøper eller bruker enheten, må du lese den modell-/versjonsspesifikke dokumentasjonen eller kontakte teknisk støtte for å få nøyaktig informasjon.

Merk: Gi kun tilgang til IP-adressene som er oppført på slutten av artikkelen, hvis teknisk støtte ber om det.

Tillate ekstern tilgang via standardobjektene

• Det første trinnet er å legge til HTTPS-protokollen for å tillate tilgang fra WAN.

Naviger til seksjonen i menyen til venstre:

Objekt > Tjeneste > Tjenestegruppe

 Default_Allow_WAN_To_ZyWALL > Rediger

• Velg HTTPS-protokollen fra listen og bruk den aktuelle knappen for å flytte den til Tillatt, som vist i figuren nedenfor.

• Det er svært viktig at du ikke glemmer å trykke på knappen "Apply" etter at du har gjort endringer i enhetsinnstillingene.

Du kan nå få tilgang til sikkerhetsenheten via WAN-grensesnittet. Men vi anbefaler på det sterkeste at du endrer porten og begrenser tilgangen til enheten til kun å gjelde fra visse klarerte IP-adresser.

Beste praksis for sikker tilgang

• Endre HTTPS-porten

Gå til > System > Innstillinger > Administrasjonsinnstillinger

• Endre HTTPS-porten. For eksempel 8443
• Deretter klikker du på "Bruk" nederst på siden.

• Opprette et eget objekt for ekstern tilgang

Det er svært viktig at du ikke glemmer å trykke på "Apply"-knappen etter at du har gjort endringer i enhetsinnstillingene.

• Opprette en egen regel for ekstern tilgang

• Navn: "Ditt regelnavn" (Råd: Bruk "Talende navn")
• Fra: "WAN"
• Til: "ZyWall"
• Tjeneste: "Ditt HTTPS-objekt"
• Handling: "Tillat"
• Klikk på "Apply"

Begrense tilgangen

Det er svært viktig å sørge for maksimal sikkerhet i det lokale nettverket, og derfor er det nødvendig å begrense tilgangen til webgrensesnittet. En måte å gjøre dette på er å kun tillate visse betrodde IP-adresser.

Gå til > Objekt > Adresse > Legg

• Først må vi opprette et objekt med en klarert IP-adresse.
• Hvis den klarerte motparten ikke har en statisk offentlig IP, kan du bruke FQDN-objekter med DDNS. (Samme prosedyre, men velg FQDN i stedet for Host).

Merk: Vi vil støtte FQDN-objektet i 2024 Q3.

• Navn: "Navn påobjektet" (Råd: Bruk "Speaking Names")
• Type adresse: "VERT"
• IP-adresse: "Pålitelig IP"
• Klikk på "Apply"

Hvis du har flere adresser, og generelt for å forenkle administrasjonen, er det nødvendig å opprette en "adressegruppe" for å legge til flere IP-er/FQDN-er uten å opprette en ny sikkerhetspolicy for hver enkelt.

Gå til > Objekt > Adresse > Adressegruppe > Legg

• Navn: "Ditt gruppenavn" (Råd: Bruk "talende navn").
• Adressetype: Velg "Adresse" (Hvis du bruker FQDN -> "FQDN")
• Medlemsliste: Velg objektet/objektene du opprettet tidligere
• Klikk på pilen "->"
• Klikk på "Apply"

• Nå må vi legge til gruppen vår som en kilde for sikkerhetspolicyen vi opprettet tidligere

Go to > Security Policy > Policy Control

• Velg ønsket policy og klikk på "Rediger"

• Kilde: Velg IP-gruppe/FQDN-gruppe
• Klikk på "Bruk" nederst på siden.

Andre typer

Du kan også blokkere et helt land eller en hel region ved hjelp av vår GeoIP-funksjon:
Slik bruker du Geo-IP-funksjonen

Fjerntilgang for supportformål

Hvis en av våre agenter ber om ekstern tilgang, kan du begrense tilgangen til våre offisielle offentlige IP-adresser:

(HOVEDKONTOR)
61.222.75.14
61.220.247.157
61.220.247.158
61.220.247.160
(Støttecampus DE)
93.159.250.200