USG / USG FLEX / ATP / VPN - Jak zezwolić na dostęp HTTPS Web GUI z sieci WAN?

Ten artykuł zawiera zwięzły przegląd włączania bezpiecznego dostępu HTTPS do internetowego interfejsu GUI zarządzania urządzeniem zabezpieczającym przez sieć WAN. Aby kontynuować, należy połączyć się z internetowym interfejsem GUI przy użyciu adresu IP urządzenia i zalogować się przy użyciu konta administratora i odpowiedniego hasła.

Zezwalanie na zdalny dostęp przez obiekty domyślne:

Configuration > Object > Service > Service Group > Default_Allow_WAN_To_ZyWALL > Edit

Wybierz HTTPS, kliknij zaznaczoną strzałkę, a następnie "OK".

Teraz można uzyskać dostęp do urządzenia zabezpieczającego za pośrednictwem interfejsu WAN.

Np. https://5. 234.65.17

Najlepsze praktyki bezpiecznego dostępu:

Ogólnie dobrą radą jest zabezpieczenie zdalnego dostępu przez sieć WAN jeszcze bardziej, aby zapobiec nieuczciwej grze złych aktorów. Przyjrzymy się, jak to zrobić.

Zmiana portu HTTPS:

Configuration > System > WWW > Service Control

Należy zmienić port HTTPS na inny.

Np. 8443

Następnie kliknij "Zastosuj" na dole strony.

Tworzenie oddzielnego obiektu dla zdalnego dostępu

Configuration > Object > Service > Service > Add

Teraz musimy utworzyć nowy i oddzielny obiekt dla portu usługi HTTPS.

1. Nazwa: "Your Service Name"
2. Protokół IP: TCP
3. Port początkowy: "Port HTTPS z poprzedniego kroku"
4. Kliknij "OK"

Tworzenie oddzielnej reguły dla zdalnego dostępu

Configuration > Security Policy > Policy Control > Policy > Add

Teraz musimy utworzyć nową/oddzielną regułę:

1. Name: "Your Rule Name" (rada: użyj "Speaking Names").
2. Od: WAN
3. Do: ZyWall
4. Usługa: "Twój obiekt HTTPS"
5. Akcja: zezwól
6. Kliknij "OK"

Ograniczanie dostępu

Możemy i powinniśmy teraz ograniczyć dostęp do interfejsu sieciowego. Jednym ze sposobów osiągnięcia tego jest zezwolenie tylko na niektóre zaufane adresy IP.

Configuration > Object > Address/Geo IP > Address > Add

Najpierw musimy utworzyć obiekt z zaufanym adresem IP.

Jeśli twój zaufany partner nie ma statycznego publicznego adresu IP, możesz użyć obiektów FQDN z DDNS.

(Ta sama procedura, wybierz FQDN zamiast Host)

1. Nazwa: "Nazwa Obiektu" (Porada: Użyj "Mówiących Nazw")
2. Typ adresu: HOST
3. Adres IP: Zaufany adres IP
4. Kliknij "OK"

Configuration > Object > Address/Geo IP > Address Group > Add

Teraz musimy utworzyć grupę dla obiektu, aby dodać wiele adresów IP / FQDN bez tworzenia nowej polityki bezpieczeństwa dla każdego z nich.

1. Nazwa: "Your Group Name" (rada: użyj "Speaking Names")
2. Typ adresu: Wybierz "Address" (Jeśli używasz FQDN -> "FQDN")
3. Lista członków: Wybierz obiekty utworzone wcześniej
4. Kliknij strzałkę "->"
5. Kliknij "OK"

Configuration > Security Policy > Policy Control > Policy > Choose Policy > Edit

Teraz musimy dodać naszą grupę jako źródło dla utworzonej wcześniej polityki bezpieczeństwa.

1. Źródło: Wybierz Grupę IP/Grupę FQDN
2. Kliknij "OK"
3. Kliknij "Zastosuj" na dole strony.

Inne typy

Możesz także zablokować cały kraj lub region za pomocą naszej funkcji GeoIP:

Jak korzystać z funkcji Geo-IP

Zdalny dostęp dla celów wsparcia

W przypadku, gdy jeden z naszych agentów poprosi o zdalny dostęp, możesz ograniczyć dostęp do naszych oficjalnych publicznych adresów IP:

(HQ)
118.163.48.105
1.161.171.96
1.161.154.129
(Support Campus DE)
93.159.250.200