USG FLEX H Series [Firewall] - Ako povoliť prístup k webovému grafickému rozhraniu HTTPS z WAN?

Tento článok sa venuje krátkemu úvodu do zabezpečeného prístupu HTTPS k webovému grafickému rozhraniu správy vášho bezpečnostného zariadenia radu USG FLEX H cez sieť WAN.

Disclaimer! Tento článok ponúka všeobecný prehľad série a nemusí sa jednotne vzťahovať na každý model, verziu softvéru/firmvéru. Pred zakúpením alebo používaním zariadenia si prečítajte dokumentáciu konkrétneho modelu/verzie alebo sa obráťte na technickú podporu, aby ste získali presné informácie.

Poznámka: Prístup povoľte len na IP adresy uvedené na konci článku, ak o to požiada technická podpora.

Povolenie vzdialeného prístupu cez predvolené objekty

• Prvým krokom je pridanie protokolu HTTPS na povolenie prístupu z WAN.

Prejdite do časti v ľavej ponuke:

Objekt > Služba > Skupina služieb > Default_Allow_WAN_To_ZyWALL > Upraviť

• Zo zoznamu vyberte protokol HTTPS a pomocou príslušného tlačidla ho presuňte na Allowed (Povolené), ako je znázornené na obrázku nižšie.

• Je veľmi dôležité, aby ste po vykonaní zmien v nastaveniach zariadenia nezabudli stlačiť tlačidloApply (Použiť)

Potom môžete k svojmu bezpečnostnému zariadeniu pristupovať cez jeho rozhranie WAN. Dôrazne však odporúčame zmeniť port a obmedziť prístup k zariadeniu len z určitých dôveryhodných IP adries.

Najlepší postup pre bezpečný prístup

• Zmena portu HTTPS

Prejdite na > Systém > Nastavenia > Nastavenia správy

• Zmeňte port HTTPS. Napr. 8443
• Potom kliknite na tlačidlo"Apply" (Použiť) v dolnej časti stránky.

• Vytvorenie samostatného objektu pre vzdialený prístup

Je veľmi dôležité, aby ste po vykonaní zmien v nastaveniach zariadenia nezabudli stlačiť tlačidlo "Použiť".

• Vytvorenie samostatného pravidla pre vzdialený prístup

• Názov: "(Odporúčanie: Používajte "hovoriace názvy")
• Od:"WAN"
• Komu: "WAN"ZyWall"
• Služba:"Váš objekt HTTPS"
• Akcia:"allow"
• Kliknite na"Apply".

Obmedzenie prístupu

Je veľmi dôležité zabezpečiť maximálnu bezpečnosť miestnej siete, a preto je potrebné obmedziť prístup k webovému rozhraniu. Jedným zo spôsobov, ako to dosiahnuť, je povoliť len určité dôveryhodné IP adresy.

Prejdite do ponuky > Objekt > Adresa > Pridať

• Najprv musíme vytvoriť objekt s dôveryhodnou IP.
• Ak váš dôveryhodný partner nemá statickú verejnú IP, môžete použiť objekty FQDN s DDNS. (Rovnaký postup, namiesto Hostiteľ vyberte FQDN)

Poznámka: Objekt FQDN budeme podporovať v treťom štvrťroku 2024.

• Názov: "(Odporúčanie: Použite "Speaking Names")
• Typ adresy:"HOST"
• IP adresa:"Trusted IP"
• Kliknite na"Apply" (Použiť)

Ak máte viacero adries a vo všeobecnosti pre zjednodušenie správy je potrebné vytvoriť "Skupinu adries", aby ste mohli pridať viacero IP adries/FQDN bez toho, aby ste pre každú z nich vytvorili novú bezpečnostnú politiku

Prejdite na > Objekt > Adresa > Skupina adries > Pridať

• Názov:"Názov vašej skupiny" (Odporúčanie: Použite "Hovoriace názvy")
• Typ adresy: Vyberte"Adresa"(ak používate FQDN -> "FQDN")
• Zoznam členov: Vyberte objekt(y), ktorý(é) ste predtým vytvorili
• Kliknite na šípku"->"
• Kliknite na"Apply" (Použiť)

• Teraz musíme pridať našu skupinu ako zdroj pre zásady zabezpečenia, ktoré sme vytvorili predtým

Go to > Security Policy > Policy Control

• Vyberte požadovanú zásadu a kliknite na tlačidlo "Upraviť".

• Zdroj: Vyberte skupinu IP/FQDN
• Kliknite na"Apply" (Použiť) v dolnej časti stránky

Iné typy

Pomocou funkcie GeoIP môžete zablokovať aj celú krajinu alebo región:
Ako používať funkciu Geo-IP

Vzdialený prístup na účely podpory

V prípade, že niektorý z našich agentov požiada o vzdialený prístup, môžete obmedziť prístup na naše oficiálne verejné IP adresy: (HQ)
1.161.171.96
61.222.75.14
61.220.247.157
61.220.247.158
61.220.247.160
(Podpora Campus DE)
93.159.250.200