USG FLEX H Series [Brannmur] - Hvordan tillate HTTPS Web GUI-tilgang fra WAN?

Denne artikkelen gir en kort introduksjon til HTTPS-sikker tilgang til administrasjonswebgrensesnittet til Security USG FLEX H Series-enheten over WAN.

Ansvarsfraskrivelse! Denne artikkelen gir en generell oversikt over serien og gjelder ikke nødvendigvis for alle modeller og programvare/firmware-versjoner . Før du kjøper eller bruker enheten, må du se i den modell-/versjonsspesifikke dokumentasjonen eller kontakte teknisk støtte for å få nøyaktig informasjon.

Merk: Gi kun tilgang til IP-adressene som er oppført på slutten av artikkelen, hvis teknisk støtte ber om det.

Tillate ekstern tilgang via standardobjekter

• Det første trinnet er å legge til HTTPS-protokollen for å tillate tilgang fra WAN.

Naviger til seksjonen i menyen til venstre:

Objekt > Tjeneste > Tjenestegruppe > Default_Allow_WAN_To_ZyWALL > Rediger

• Velg HTTPS-protokollen fra listen, og bruk den aktuelle knappen for å flytte den til Tillatt, som vist i figuren nedenfor.

• Det er svært viktig at du ikke glemmer å trykke på"Apply"-knappen etter at du har gjort endringer i enhetsinnstillingene

Du kan deretter få tilgang til sikkerhetsenheten via WAN-grensesnittet. Men vi anbefaler på det sterkeste at du endrer porten og begrenser tilgangen til enheten din til kun å gjelde visse betrodde IP-adresser.

Beste praksis for sikker tilgang

• Endre HTTPS-porten

Gå til > System > Innstillinger > Administrasjonsinnstillinger

• Endre HTTPS-porten. F.eks. 8443
• Deretter klikker du på"Bruk" nederst på siden.

• Opprette et eget objekt for ekstern tilgang

Det er svært viktig at du ikke glemmer å trykke på "Apply"-knappen etter at du har gjort endringer i enhetsinnstillingene.

• Opprette en egen regel for ekstern tilgang

• Navn:"Ditt regelnavn" (Råd: Bruk "Talende navn")
• Fra:"WAN"
• Til:"ZyWall"
• Service:"Ditt HTTPS-objekt"
• Handling:"Tillat"
• Klikk på"Apply"

Begrense tilgangen

Det er svært viktig å sørge for maksimal sikkerhet i det lokale nettverket, og derfor er det nødvendig å begrense tilgangen til webgrensesnittet. En måte å oppnå dette på er å bare tillate visse betrodde IP-adresser.

Gå til > Objekt > Adresse > Legg til

• Først må vi opprette et objekt med en klarert IP-adresse.
• Hvis den betrodde motparten ikke har en statisk offentlig IP, kan du bruke FQDN-objekter med DDNS. (Samme prosedyre, men velg FQDN i stedet for Host)

Merk: Vi vil støtte FQDN-objektet i 2024 Q3.

• Name (Navn): "Navn påobjektet" (Råd: Bruk "Speaking Names")
• Type adresse:"HOST"
• IP-adresse:"Pålitelig IP"
• Klikk på"Apply"

Hvis du har flere adresser, og generelt for å forenkle administrasjonen, er det nødvendig å opprette en "adressegruppe" for å legge til flere IP-er/FQDN-er uten å opprette en ny sikkerhetspolicy for hver enkelt

Gå til > Objekt > Adresse > Adressegruppe > Legg til

• Navn:"Ditt gruppenavn" (Råd: Bruk "Talende navn")
• Type adresse: Velg "Adresse" (Hvis du bruker FQDN -> "FQDN")
• Medlemsliste: Velg objektet/objektene du har opprettet tidligere
• Klikk på "->" -pilen
• Klikk på"Apply"

• Nå må vi legge til gruppen vår som en kilde for sikkerhetspolicyen vi opprettet tidligere

Go to > Security Policy > Policy Control

• Velg ønsket policy og klikk på "Rediger"

• Kilde: Velg IP-gruppe/FQDN-gruppe
• Klikk på"Bruk" nederst på siden

Andre typer

Du kan også blokkere et helt land eller en region ved hjelp av GeoIP-funksjonen:
Slik bruker du Geo-IP-funksjonen

Ekstern tilgang for supportformål

Hvis en av våre agenter ber om ekstern tilgang, kan du begrense tilgangen til våre offisielle offentlige IP-adresser:(HQ)
1.161.171.96
61.222.75.14
61.220.247.157
61.220.247.158
61.220.247.160
(Støtte Campus DE)
93.159.250.200