Brána firewall Zyxel - Jak nakonfigurovat výjimku IP pro obejití bezpečnostních služeb v zařízení Nebula

Nebula Control Center poskytuje funkci IP Exception, která umožňuje konkrétním hostitelům obejít bezpečnostní služby. To je užitečné, pokud máte důvěryhodné klienty nebo servery, které by neměly být kontrolovány filtrem obsahu, ochranou proti malwaru nebo jinými bezpečnostními funkcemi při každém přístupu na internet. Profily IP výjimek vytvoříte na stránce Bezpečnostní služby v aplikaci Nebula a použijete je v konfiguraci brány firewall.

Seznam podporovaných modelů (Nebula-managed):

• Řada ATP

• Řada USG FLEX

• Řada USG FLEX H

Jak funguje výjimka IP

Pokud provoz odpovídá nakonfigurované položce IP Exception (na základě zdrojové IP a cílové IP), brána firewall pro tento provoz přeskočí vybrané bezpečnostní služby. Pravidla brány firewall stále rozhodují o tom, zda je relace povolena nebo zamítnuta, ale bezpečnostní kontrola odpovídajícího provozu je obejita, což zlepšuje výkon pro známé hostitele.

Typické použití:

• Povolení přístupu důvěryhodného interního hostitele k internetu bez kontroly filtrem obsahu.

• Povolení provozu na určitý externí server, který obchází vybrané bezpečnostní služby.

Kroky konfigurace v systému Nebula

1. Přihlaste se do řídicího centra Nebula a vyberte svůj web.

2. Přejděte do části Konfigurace → Brána firewall → Bezpečnostní služba.

3. V části Výjimka IP klikněte na tlačítko +Přidat a vytvořte nový profil.

4. Vyplňte jednotlivá pole:

   • Zdrojová IP - adresa nebo rozsah IP klienta, který má obejít bezpečnostní služby.

   • Cílová IP - IP adresa nebo rozsah serveru, který má být vyňat (nebo libovolný, pokud chcete obcházet všechny cíle).

   • Popis - jasný popis, např: Obejít pro 192.168.8.33.

     Klikněte na tlačítko Uložit / Použít, aby se profil přesunul do firewallu spravovaného Nebula.

Povolit jednomu hostiteli sítě LAN obejít filtr obsahu

Tento příklad ukazuje, jak IP výjimka funguje v reálném scénáři.

Scénář

• Zásada zabezpečení s filtrem obsahu je nakonfigurována tak, aby blokovala podsíť 192.168.8.0/24 pro návštěvu vyhledávačů, například www.google.com..

• Konkrétní hostitel v této podsíti s IP adresou 192.168.8.33 by měl mít povolen přístup na tyto stránky, aniž by byl blokován.

Krok 1 - Zásady filtrování obsahu

Zásada brány firewall je již nakonfigurována tak, aby uživatelé v síti 192.168.8.0/24 nemohli procházet stránky vyhledávačů. Pokud se některý hostitel v tomto rozsahu pokusí navštívit stránky www.google.com., bude připojení zablokováno pomocí filtru obsahu

Krok 2 - Vytvoření profilu IP výjimky

1. V aplikaci Nebula přejděte do části Konfigurace → Firewall → Bezpečnostní služba → Výjimka IP.

2. Klikněte na tlačítko +Přidat a proveďte konfiguraci:

   • Zdrojová IP: 192.168.8.33

   • Cílová IP: IP/rozsah používaný blokovanými stránkami (nebo libovolný, v závislosti na vašem návrhu).

   • Popis: Vložte adresu IP, kterou chcete odeslat, a zadejte adresu IP, kterou chcete odeslat: Adresa: Hostitel 192.168.8.33 obchází filtr obsahu.

3. Uložte a použijte profil tak, aby se přesunul do brány firewall.

Výsledek

• Hostitel 192.168.8.33 má nyní povoleno obcházet bezpečnostní služby, například Filtr obsahu.

• Tento hostitel může procházet stránky www.google.com normálně, zatímco ostatní klienti v doméně 192.168.8.0/24 jsou stále blokováni stávajícími zásadami filtru obsahu.

Osvědčené postupy

• Výjimku IP používejte pouze pro důvěryhodné hostitele nebo cíle (například interní servery nebo počítače správců).

• Udržujte jasné popisy (uvádějte IP adresu a účel), aby bylo snadné výjimky později kontrolovat.

• Pravidelně kontrolujte záznamy o výjimkách IP, abyste se ujistili, že jsou stále potřebné.

Konfigurací IP Exception v Nebula, jak je uvedeno výše, můžete na firewallech ATP / USG FLEX / USG FLEX H jemně vyladit rovnováhu mezi zabezpečením a výkonem.