USG / USG FLEX / ATP / VPN - Как разрешить доступ к веб-интерфейсу HTTPS из глобальной сети?

Создан 19/07/2021 09:00 - Обновлено 16/06/2025 09:06

Serhii Boiarynov

Важное уведомление:
Уважаемый покупатель, пожалуйста, обратите внимание, что мы используем машинный перевод для предоставления статей на вашем местном языке. Не весь текст может быть переведен точно. Если есть вопросы или несоответствия в отношении точности информации в переведенной версии, пожалуйста, ознакомьтесь с оригинальной статьей здесь:Original Version

В этой статье приводится краткий обзор включения безопасного доступа по протоколу HTTPS к графическому интерфейсу управления устройства безопасности через глобальную сеть. Чтобы продолжить, подключитесь к веб-интерфейсу с помощью IP-адреса устройства и войдите в систему с учетной записью администратора и соответствующим паролем.

Разрешение удаленного доступа через объекты по умолчанию:

Configuration > Object > Service > Service Group > Default_Allow_WAN_To_ZyWALL > Edit

Выберите HTTPS, нажмите на отмеченную стрелку и затем на "OK".

Теперь вы можете получить доступ к вашему устройству безопасности через его WAN-интерфейс.

Например, https://5.234.65.17.

Лучшая практика для безопасного доступа:

В общем случае рекомендуется дополнительно защитить удаленный доступ через WAN, чтобы предотвратить нечестную игру со стороны злоумышленников. Мы рассмотрим, как это сделать.

Изменение порта HTTPS:

Configuration > System > WWW > Service Control

Пожалуйста, измените порт HTTPS на какой-нибудь другой.

Например, 8443.

После этого нажмите "Применить" в нижней части страницы.

Создание отдельного объекта для удаленного доступа

Configuration > Object > Service > Service > Add

Теперь нам нужно создать новый отдельный объект для порта службы HTTPS.

Имя: "Имя вашей службы".
IP-протокол: TCP
Начальный порт: "Порт HTTPS из предыдущего шага".
Нажмите на "OK".

Создание отдельного правила для удаленного доступа

Configuration > Security Policy > Policy Control > Policy > Add

Теперь нам нужно создать новое/отдельное правило:

Имя: "Имя вашего правила" (Совет: используйте "говорящие имена").
От: WAN
До: ZyWall
Сервис: "Ваш объект HTTPS"
Действие: разрешить
Нажмите "OK"

Ограничение доступа

Теперь мы можем и должны ограничить доступ к веб-интерфейсу. Один из способов добиться этого - разрешить только определенные доверенные IP-адреса.

Configuration > Object > Address/Geo IP > Address > Add

Сначала нам нужно создать объект с доверенным IP.

Если у вашего доверенного партнера нет статического публичного IP, вы можете использовать FQDN-объекты с DDNS.

(Процедура та же, только вместо хоста выбираем FQDN)

Имя: "Имя объекта" (Совет: используйте "Говорящие имена")
Тип адреса: HOST
IP-адрес: Trusted IP
Нажмите на "OK"

Configuration > Object > Address/Geo IP > Address Group > Add

Теперь нам нужно создать группу для объекта, чтобы добавить несколько IP/FQDN без создания новой политики безопасности для каждого.

Имя: "Имя вашей группы" (Совет: используйте "говорящие имена").
Тип адреса: Выберите "Адрес" (Если вы используете FQDN -> "FQDN")
Список участников: Выберите объект(ы), который(ые) вы создали ранее.
Нажмите стрелку "->".
Нажмите "OK".

Configuration > Security Policy > Policy Control > Policy > Choose Policy > Edit

Теперь нам нужно добавить нашу группу в качестве источника для политики безопасности, которую мы создали ранее.

Источник: Выберите группу IP Group/FQDN Group
Нажмите "ОК"
Нажмите "Применить" в нижней части страницы.

Другие типы

Вы также можете заблокировать всю страну или регион с помощью функции GeoIP:

Как использовать функцию Geo-IP

Удаленный доступ для целей поддержки

В случае если один из наших агентов попросит удаленный доступ, вы можете ограничить доступ к нашим официальным публичным IP:

(HQ)
118.163.48.105
1.161.171.96
1.161.154.129
(Support Campus DE)
93.159.250.200

Статьи в этом разделе

Больше