USG FLEX H Series [Firewall] - Jak zezwolić na dostęp HTTPS Web GUI z sieci WAN?

Ten artykuł stanowi krótkie wprowadzenie do bezpiecznego dostępu HTTPS do interfejsu zarządzania sieciowego urządzenia z serii Security USG FLEX H przez sieć WAN.

Zastrzeżenie! Ten artykuł zawiera ogólny przegląd serii i może nie mieć jednolitego zastosowania do każdego modelu, wersji oprogramowania / oprogramowania układowego. Przed zakupem lub użyciem urządzenia należy zapoznać się z dokumentacją specyficzną dla modelu/wersji lub skontaktować się z pomocą techniczną w celu uzyskania dokładnych informacji.

Uwaga: Przyznaj dostęp tylko adresom IP wymienionym na końcu artykułu, jeśli zażąda tego pomoc techniczna.

Zezwalanie na zdalny dostęp do obiektów domyślnych

• Pierwszym krokiem jest dodanie protokołu HTTPS, aby umożliwić dostęp z sieci WAN.

Przejdź do sekcji w lewym menu:

Object > Service > Service Group > Default_Allow_WAN_To_ZyWALL > Edit

• Wybierz protokół HTTPS z listy i użyj odpowiedniego przycisku, aby przenieść go do pozycji Allowed, jak pokazano na poniższym rysunku.

• Bardzo ważne jest, aby nie zapomnieć o naciśnięciu przycisku"Zastosuj" po wprowadzeniu zmian w ustawieniach urządzenia

Następnie można uzyskać dostęp do urządzenia zabezpieczającego za pośrednictwem interfejsu WAN. Zdecydowanie zalecamy jednak zmianę portu i ograniczenie dostępu do urządzenia tylko z niektórych zaufanych adresów IP.

Najlepsze praktyki bezpiecznego dostępu

• Zmiana portu HTTPS

Przejdź do > System > Ustawienia > Ustawienia administracyjne

• Zmień port HTTPS. Np. 8443
• Następnie kliknij przycisk"Zastosuj" u dołu strony.

• Tworzenie oddzielnego obiektu dla zdalnego dostępu

Bardzo ważne jest, aby nie zapomnieć o naciśnięciu przycisku "Zastosuj" po wprowadzeniu zmian w ustawieniach urządzenia.

• Tworzenie oddzielnej reguły dla zdalnego dostępu

• Nazwa:"Your Rule Name" (Porada: Użyj "Speaking Names")
• Od:"WAN"
• Do:"ZyWall"
• Usługa:"Twój obiekt HTTPS"
• Akcja:"allow"
• Kliknij"Zastosuj"

Ograniczanie dostępu

Bardzo ważne jest zapewnienie maksymalnego bezpieczeństwa sieci lokalnej i dlatego konieczne jest ograniczenie dostępu do interfejsu internetowego. Jednym ze sposobów osiągnięcia tego celu jest zezwolenie tylko na niektóre zaufane adresy IP.

Przejdź do > Obiekt > Adres > Dodaj

• Najpierw musimy utworzyć obiekt z zaufanym adresem IP.
• Jeśli twój zaufany partner nie ma statycznego publicznego adresu IP, możesz użyć obiektów FQDN z DDNS. (Ta sama procedura, wybierz FQDN zamiast Host)

Uwaga: Obiekt FQDN będzie obsługiwany w 2024 Q3.

• Nazwa:"Name of the Object" (Porada: Użyj "Speaking Names")
• Typ adresu:"HOST"
• Adres IP:"Zaufane IP"
• Kliknij"Zastosuj"

Jeśli masz kilka adresów i ogólnie w celu uproszczenia administracji, konieczne jest utworzenie "Grupy adresów", aby dodać wiele adresów IP / FQDN bez tworzenia nowej polityki bezpieczeństwa dla każdego z nich.

Przejdź do > Obiekt > Adres > Grupa adresów > Dodaj

• Nazwa:"Your Group Name" (rada: użyj "Speaking Names")
• Typ adresu: Wybierz"Address" (Jeśli używasz FQDN -> "FQDN").
• Lista członków: Wybierz obiekty utworzone wcześniej
• Kliknij strzałkę"->"
• Kliknij"Zastosuj"

• Teraz musimy dodać naszą grupę jako źródło dla utworzonej wcześniej polityki bezpieczeństwa

Go to > Security Policy > Policy Control

• Wybierz żądaną politykę i kliknij "Edytuj"

• Źródło: Wybierz Grupę IP/Grupę FQDN
• Kliknij"Zastosuj" na dole strony.

Inne typy

Możesz również zablokować cały kraj lub region za pomocą naszej funkcji GeoIP:
Jak korzystać z funkcji Geo-IP

Zdalny dostęp dla celów wsparcia

W przypadku, gdy jeden z naszych agentów poprosi o zdalny dostęp, możesz ograniczyć dostęp do naszych oficjalnych publicznych adresów IP:(HQ)
1.161.171.96
61.222.75.14
61.220.247.157
61.220.247.158
61.220.247.160
(Wsparcie kampusu DE)
93.159.250.200