Важное уведомление: |
Вэтой статье мы рассмотрим безопасный доступ по протоколу HTTPS к веб-интерфейсу управления устройствами серии Security USG FLEX H через глобальную сеть.
Отказ от ответственности! Данная статья представляет собой общий обзор серии устройств и может быть неприменима к каждой модели, версии программного обеспечения/прошивки. Перед покупкой или использованием устройства обратитесь к документации по конкретной модели/версии или обратитесь в службу технической поддержки для получения точной информации.
Примечание: Позапросу службы технической поддержки предоставляйте доступ только к IP-адресам, указанным в конце статьи.
Разрешение удаленного доступа через объекты по умолчанию
- На начальном этапе необходимо добавить протокол HTTPS, чтобы разрешить доступ из глобальной сети.
Перейдите к разделу в левом меню:
Объект > Сервис > Группа сервисов > Default_Allow_WAN_To_ZyWALL > Редактировать- Выберите протокол HTTPS из списка и используйте соответствующую кнопку, чтобы перевести его в разрешенный, как показано на рисунке ниже.
- Очень важно не забыть нажать кнопку "Применить" после внесения изменений в настройки устройства
После этого вы сможете получить доступ к вашему устройству безопасности через его WAN-интерфейс. Но мы настоятельно рекомендуем вам изменить порт и ограничить доступ к устройству только с определенных доверенных IP-адресов.
Лучшие практики для безопасного доступа
-
Изменение порта HTTPS
Перейдите в раздел > Система > Настройки > Настройки администрирования- Пожалуйста, измените порт HTTPS. Например, 8443
- После этого, пожалуйста, нажмите "Применить" в нижней части страницы.
-
Создание отдельного объекта для удаленного доступа
Очень важно не забыть нажать кнопку "Применить" после внесения изменений в настройки устройства.
- Создание отдельного правила для удаленного доступа
- Имя: "Имя вашего правила" (Совет: используйте "говорящие имена")
- От: "WAN"
- Для: "ZyWall"
- Сервис: "Ваш объект HTTPS"
- Действие: "разрешить"
- Нажмите "Применить"
Ограничение доступа
Очень важно обеспечить максимальную безопасность локальной сети, поэтому необходимо ограничить доступ к веб-интерфейсу. Один из способов добиться этого - разрешить доступ только к определенным доверенным IP-адресам.
Перейдите в меню > Объект > Адрес > Добавить- Сначала нам нужно создать объект с доверенным IP-адресом.
- Если у вашего доверенного партнера нет статического публичного IP, вы можете использовать FQDN-объекты с DDNS. (Процедура та же, только вместо хоста выберите FQDN)
Примечание: Мы будем поддерживать объект FQDN в 2024 Q3.
- Имя: "Имя объекта" (Совет: используйте "Говорящие имена").
- Тип адреса: "HOST"
- IP-адрес: "Trusted IP"
- Нажмите "Применить"
Если у вас несколько адресов и вообще для упрощения администрирования, необходимо создать "Группу адресов", чтобы добавить несколько IP/FQDN без создания новой политики безопасности для каждого
Перейдите в раздел > Объект > Адрес > Группа адресов > Добавить- Имя: "Имя вашей группы" (Совет: используйте "Говорящие имена")
- Тип адреса: Выберите "Адрес" (Если вы используете FQDN -> "FQDN")
- Список участников: Выберите объект(ы), который(ые) вы создали ранее.
- Нажмите стрелку "->".
- Нажмите "Применить"
- Теперь нам нужно добавить нашу группу в качестве источника для политики безопасности, которую мы создали ранее
Go to > Security Policy > Policy Control
- Выберите нужную политику и нажмите "Изменить".
- Источник: Выберите группу IP/QDN
- Нажмите кнопку "Применить" в нижней части страницы
Другие типы
Вы также можете заблокировать всю страну или регион, используя нашу функцию GeoIP:
Как использовать функцию GeoIP
Удаленный доступ для целей поддержки
Если один из наших агентов запросит удаленный доступ, вы можете ограничить доступ к нашим официальным публичным IP-адресам:
(ШТАБ-КВАРТИРА)
61.222.75.14
61.220.247.157
61.220.247.158
61.220.247.160
(Поддержка кампуса DE)
93.159.250.200