USG FLEX H Series [Brandvägg] - Hur tillåter jag HTTPS Web GUI Access från WAN?

Den här artikeln ger en kort introduktion till HTTPS Secure Access till Management Web GUI för din Security USG FLEX H Series-enhet över WAN.

Ansvarsfriskrivning! Den här artikeln ger en allmän översikt över serien och kanske inte gäller enhetligt för varje modell, programvara / firmwareversion. Innan du köper eller använder enheten bör du läsa den modell-/versionsspecifika dokumentationen eller kontakta teknisk support för korrekt information.

Obs: Ge endast åtkomst till de IP-adresser som anges i slutet av artikeln på begäran av teknisk support.

Tillåta fjärråtkomst över standardobjekten

• Det första steget är att lägga till HTTPS-protokollet för att tillåta åtkomst från WAN.

Navigera till avsnittet i den vänstra menyn:

Objekt > Tjänst > Tjänstegrupp > Default_Allow_WAN_To_ZyWALL > Redigera

• Välj HTTPS-protokollet i listan och använd lämplig knapp för att flytta det till Tillåtet, enligt bilden nedan.

• Det är mycket viktigt att inte glömma att trycka på knappen "Apply" efter att ha gjort ändringar i enhetens inställningar

Du kan nu komma åt din säkerhetsenhet via dess WAN-gränssnitt. Men vi rekommenderar starkt att du ändrar porten och begränsar åtkomsten till din enhet endast från vissa betrodda IP-adresser.

Bästa praxis för säker åtkomst

• Ändra HTTPS-port

Gå till > System > Inställningar > Administrationsinställningar

• Ändra HTTPS-porten. T.ex. 8443
• Klicka sedan på "Apply" längst ner på sidan.

• Skapa ett separat objekt för fjärråtkomst

Det är mycket viktigt att inte glömma att trycka på knappen "Apply" när du har gjort ändringar i enhetens inställningar.

• Skapa en separat regel för fjärråtkomst

• Namn: "Ditt regelnamn" (Råd: Använd "talande namn")
• Från: "WAN"
• Till: "ZyWall"
• Tjänst: "Ditt HTTPS-objekt"
• Åtgärd: "Tillåt"
• Klicka på "Verkställ"

Begränsa åtkomsten

Det är mycket viktigt att ge det lokala nätverket maximal säkerhet och därför är det nödvändigt att begränsa åtkomsten till webbgränssnittet. Ett sätt att åstadkomma detta är att endast tillåta vissa betrodda IP-adresser.

Gå till > Objekt > Adress > Lägg

• Först måste vi skapa ett objekt med en betrodd IP-adress.
• Om din betrodda peer inte har en statisk offentlig IP kan du använda FQDN-objekt med en DDNS. (Samma procedur, välj FQDN istället för Host)

Observera: Vi kommer att stödja FQDN-objektet i 2024 Q3.

• Namn: "Namn på objektet" (Råd: Använd "Talande namn")
• Typ av adress: "VÄRD"
• IP-adress: "Betrodd IP"
• Klicka på "Verkställ"

Om du har flera adresser och i allmänhet för att förenkla administrationen, är det nödvändigt att skapa en "Adressgrupp" för att lägga till flera IPs/FQDNs utan att skapa en ny säkerhetspolicy för varje

Gå till > Objekt > Adress > Adressgrupp

• Namn: "Ditt gruppnamn" (Råd: Använd "talande namn")
• Typ av adress: Välj "Adress" (Om du använder FQDN -> "FQDN")
• Lista över medlemmar: Välj det eller de objekt du skapade tidigare
• Klicka på pilen "->"
• Klicka på "Tillämpa"

• Nu måste vi lägga till vår grupp som en källa för den säkerhetspolicy som vi skapade tidigare

Go to > Security Policy > Policy Control

• Välj önskad policy och klicka på "Redigera"

• Källa: Välj IP-grupp/FQDN-grupp
• Klicka på "Apply" längst ned på sidan

Andra typer

Du kan också blockera ett helt land eller en hel region med vår GeoIP-funktion:
Hur man använder Geo-IP-funktionen

Fjärråtkomst för supportändamål

Om en av våra agenter ber om fjärråtkomst kan du begränsa åtkomsten till våra officiella offentliga IP-adresser:

(HUVUDKONTOR)
61.222.75.14
61.220.247.157
61.220.247.158
61.220.247.160
(Stöd till Campus DE)
93.159.250.200