Nebula - Конфигуриране на правила за защитна стена на шлюза за сигурност [Политика за сигурност]

Създаден - Обновено
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Имате още въпроси? Подаване на заявка

Важно известие:
Уважаеми клиенти, моля, имайте предвид, че използваме машинен превод, за да предоставяме статии на вашия местен език. Възможно е не всички текстове да бъдат преведени точно. Ако има въпроси или несъответствия относно точността на информацията в преведената версия, моля, прегледайте оригиналната статия тук: Оригинална версия

Тази статия ще ви покаже как да блокирате определен трафик на вашата защитна стена [USG FLEX, ATP Series]. В това ръководство ще ви преведем през необходимите стъпки в контролния център Nebula (NCC), за да блокирате трафика. Можете да блокирате трафика чрез подмрежи, Geo-IP или да блокирате всичко и да разрешите само определени подмрежи или региони в света.

1) Блокиране на подмрежа

В този пример искаме да ограничим достъпа на клиент в нашата LAN1 (192.168.1.100) до всеки клиент в LAN2 (192.168.2.1).

Първо, моля, преминете към Центъра за управление на Nebula и отидете на:

Site-wide > Configure > Firewall > Security Policy

След това добавете"изходящо правило":
В този пример блокираме всичко от 192.168.1.100 (най-вече в обхвата на подмрежата LAN1) до 192.168.2.1/24
mceclip0.png

2) Блокиране на GeoIP

Новата функция за правила за защитна стена включва GeoIP в Nebula, при която можете да разрешавате или блокирате само определени държави. Тъй като не можете да блокирате региони (Азия, Северна Америка и т.н.)[актуализация: януари 2023 г.], препоръчваме ви да разрешавате само държавите, на които имате доверие.

Например, ако основният ви офис е в Швеция и имате офис в Обединеното кралство, а също така сте настроили DNS сървъра на 8.8.8.8 в локалната мрежа (която се намира в САЩ), можете да зададете правило, разрешаващо само Швеция, Обединеното кралство и САЩ, и след това да блокирате всичко останало, както е показано по-долу:

Неща, които трябва да вземете предвид:

  • Когато тествате правилото на защитната стена, най-вероятно ще пингнете (когато разглеждате нашия пример) IP адреса на шлюза на LAN2 и с шок ще установите, че все още можете да пингвате шлюза! Дали това е така, защото собственият IP на интерфейса е зададен в зона на защитна стена извън LAN1 или LAN2, но всъщност самото устройство, наричано още "ZyWall"
  • Използването на услугите на шлюза за сигурност по-долу ще позволи достъп до определени услуги от WAN в устройството ("ZyWall"). Ако въведете и в двете полета всяка напр. клиенти от WAN могат както да пингват, така и да осъществяват достъп до устройството на WAN-порта виа HTTPS

  • Във фонов режим се случват множество правила. Ето малък поглед към някои от правилата на защитната стена, както са твърдо кодирани в конфигурацията на устройството:
    mceclip2.png
    Те не се показват в контролния център на Nebula и не могат да се променят.

Статии в този раздел

Вижте още
Беше ли полезна тази статия?
0 от 4 считат материала за полезен
Споделяне

Коментари

0 коментара

Влезте в услугата, за да оставите коментар.