Важно известие: |
Nebula Центърът за управление предоставя функция за изключване на IP, която позволява на определени хостове да заобикалят услугите за сигурност. Това е полезно, когато имате доверени клиенти или сървъри, които не трябва да бъдат проверявани от филтъра за съдържание, антималуера или други функции за сигурност всеки път, когато влизат в интернет. Създавате профили за IP изключения в страницата Security Service (Услуги за сигурност) в Nebula и ги прилагате към конфигурацията на защитната стена.
Списък на поддържаните модели (Nebula-managed):
Серия ATP
Серия USG FLEX
Серия USG FLEX H
Как работи изключването на IP
Когато трафикът отговаря на конфигуриран запис за IP изключение (въз основа на IP адреса на източника и IP адреса на получателя), защитната стена пропуска избраните услуги за сигурност за този трафик. Правилата на защитната стена продължават да решават дали сесията да бъде разрешена или отказана, но проверката на сигурността за съвпадащия трафик се заобикаля, което подобрява производителността на известните добри хостове.
Типични употреби:
Позволяване на доверен вътрешен хост да има достъп до интернет без проверка с филтър за съдържание.
Позволяване на трафика към определен външен сървър да заобикаля избрани услуги за сигурност.
Стъпки за конфигуриране на Nebula
Влезте в Центъра за управление Nebula и изберете своя сайт.
Преминете към Конфигуриране → Защитна стена → Служба за сигурност.
В раздела IP Exception (Изключение на IP) щракнете върху +Add (Добавяне), за да създадете нов профил.
-
Попълнете полетата:
Източен IP адрес - клиентският IP адрес или обхват, който трябва да заобиколи услугите за сигурност.
IP на местоназначението - IP адресът или обхватът на сървъра, който трябва да бъде изключен (или
всеки,ако искате да се заобиколи за всички местоназначения).-
Описание - ясно описание, например:
Заобикаляне за 192.168.8.33.Щракнете върху Запази / Приложи, за да се прехвърли профилът към управляваната от Nebula защитна стена.
Разрешаване на заобикаляне на филтъра за съдържание от един хост в локалната мрежа
Този пример показва как IP изключението работи в реален сценарий.
Сценарий
Политиката за сигурност с филтър за съдържание е конфигурирана да блокира подмрежата
192.168.8.0/24от посещения на търсачки като www.google.com..
На определен хост в тази подмрежа с IP адрес 192.168.8.33 трябва да бъде разрешен достъп до тези сайтове, без да бъде блокиран.
Стъпка 1 - Политика за филтриране на съдържанието
Политиката на защитната стена вече е конфигурирана така, че потребителите в 192.168.8.0/24 да не могат да разглеждат сайтове на търсачки. Ако някой хост в този обхват се опита да посети www.google.com, връзката се блокира от филтъра за съдържание
Стъпка 2 - Създаване на профил за изключване на IP
В Nebula отидете на Конфигуриране → Защитна стена → Служба за сигурност → IP изключение.
-
Щракнете върху +Add (Добавяне) и конфигурирайте:
IP на източника:
192.168.8.33IP на местоназначението: IP/обхватът, използван от блокираните сайтове (или
който и да е,в зависимост от вашия дизайн).Описание:
Хост 192.168.8.33 заобикаля филтъра за съдържание.
Запазете и приложете профила, така че да бъде прехвърлен към защитната стена.
Резултат
На хоста 192.168.8.33 вече е разрешено да заобикаля услуги за сигурност, като например филтъра за съдържание.
Този хост може да разглежда www.google.com нормално, докато други клиенти в
192.168.8.0/24все още са блокирани от съществуващата политика на Content Filter.
Най-добри практики
Използвайте IP изключение само за доверени хостове или дестинации (например вътрешни сървъри или компютри на администратори).
Поддържайте описанията ясни (включвайте IP и цел), за да е лесно да се проверяват изключенията по-късно.
Редовно преглеждайте записите за IP изключения, за да се уверите, че те все още са необходими.
Чрез конфигуриране на IP Exception в Nebula, както е показано по-горе, можете да настроите точно баланса между сигурността и производителността на вашите защитни стени ATP / USG FLEX / USG FLEX H.
Коментари
0 коментараВлезте в услугата, за да оставите коментар.