USG FLEX H Series [Brandvägg] - Hur tillåter jag HTTPS Web GUI-åtkomst från WAN?

Den här artikeln ger en kort introduktion till säker HTTPS-åtkomst till webbgränssnittet för hantering av din Security USG FLEX H Series-enhet via WAN.

Ansvarsfriskrivning! Den här artikeln ger en allmän översikt över serien och kanske inte gäller enhetligt för alla modeller, programvaru- och firmwareversioner . Innan du köper eller använder enheten ska du läsa den modell-/versionsspecifika dokumentationen eller kontakta teknisk support för korrekt information.

Obs: Ge endast åtkomst till de IP-adresser som anges i slutet av artikeln om teknisk support begär det.

Tillåta fjärråtkomst över standardobjekten

• Det första steget är att lägga till HTTPS-protokollet för att tillåta åtkomst från WAN.

Navigera till avsnittet i menyn till vänster:

Objekt > Tjänst > Tjänstegrupp > Default_Allow_WAN_To_ZyWALL > Redigera

• Välj HTTPS-protokollet i listan och använd lämplig knapp för att flytta det till Allowed (Tillåtet), enligt bilden nedan.

• Det är mycket viktigt att inte glömma att trycka på knappen"Apply" efter att du har gjort ändringar i enhetens inställningar

Du kan sedan komma åt din säkerhetsenhet via dess WAN-gränssnitt. Men vi rekommenderar starkt att du ändrar porten och begränsar åtkomsten till din enhet endast från vissa betrodda IP-adresser.

Bästa praxis för säker åtkomst

• Ändra HTTPS-porten

Gå till > System > Inställningar > Administrationsinställningar

• Ändra HTTPS-port. T.ex. 8443
• Därefter klickar du på"Apply" längst ner på sidan.

• Skapa ett separat objekt för fjärråtkomst

Det är mycket viktigt att inte glömma att trycka på knappen "Apply" när du har gjort ändringar i enhetens inställningar.

• Skapa en separat regel för fjärråtkomst

• namn:"Ditt regelnamn" (Råd: Använd "talande namn")
• Från:"WAN"
• Till:"ZyWall"
• Service:"Ditt HTTPS-objekt"
• Åtgärd: "Tillåt"
• Klicka på"Apply"

Begränsa åtkomsten

Det är mycket viktigt att ge det lokala nätverket maximal säkerhet och därför är det nödvändigt att begränsa åtkomsten till webbgränssnittet. Ett sätt att åstadkomma detta är att endast tillåta vissa betrodda IP-adresser.

Gå till > Objekt > Adress > Lägg till

• Först måste vi skapa ett objekt med en betrodd IP-adress.
• Om din betrodda peer inte har en statisk offentlig IP kan du använda FQDN-objekt med DDNS. (Samma procedur, men välj FQDN i stället för Host)

Obs: Vi kommer att stödja FQDN-objektet i 2024 Q3.

• Namn på objektet:"Namn på objektet" (Råd: Använd "Talande namn")
• Typ av adress:"HOST"
• IP-adress (IP Address):"Betrodd IP"
• Klicka på"Apply"

Om du har flera adresser och i allmänhet för att förenkla administrationen är det nödvändigt att skapa en "Adressgrupp" för att lägga till flera IPs/FQDNs utan att skapa en ny säkerhetspolicy för varje

Gå till > Objekt > Adress > Adressgrupp > Lägg till

• Namn på gruppen:"Ditt gruppnamn" (Råd: Använd "talande namn")
• Typ av adress: Välj "Adress" (om du använder FQDN -> "FQDN")
• Medlemslista: Välj det eller de objekt som du skapade tidigare
• Klicka på pilen"->"
• Klicka på"Apply"

• Nu måste vi lägga till vår grupp som en källa för den säkerhetspolicy som vi skapade tidigare

Go to > Security Policy > Policy Control

• Välj önskad policy och klicka på "Redigera"

• Källan: Välj IP-grupp/FQDN-grupp
• Klicka på"Apply" längst ner på sidan

Andra typer

Du kan också blockera ett helt land eller en hel region med hjälp av vår GeoIP-funktion:
Så här använder du Geo-IP-funktionen

Fjärråtkomst för supportändamål

Om en av våra agenter ber om fjärråtkomst kan du begränsa åtkomsten till våra officiella offentliga IP-adresser:(HQ)
1.161.171.96
61.222.75.14
61.220.247.157
61.220.247.158
61.220.247.160
(Stöd för Campus DE)
93.159.250.200