Nebula - Konfigurace pravidel brány firewall na bráně zabezpečení [Zásady zabezpečení]

Vytvořeno - Aktualizováno
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Máte další otázky? Odeslat požadavek

Důležité upozornění:
Upozornění: Vážení zákazníci, upozorňujeme, že k poskytování článků v místním jazyce používáme strojový překlad. Ne všechny texty mohou být přeloženy přesně. V případě dotazů nebo nesrovnalostí ohledně správnosti informací v přeložené verzi si prosím prohlédněte originální článek zde: Originální verze

Tento článek vám ukáže, jak blokovat konkrétní provoz na bráně firewall [USG FLEX, řada ATP]. V tomto návodu vás provedeme potřebnými kroky v řídicím centru Nebula (NCC) k blokování provozu. Provoz můžete blokovat buď prostřednictvím podsítí, Geo-IP, nebo blokovat vše a povolit pouze určité podsítě nebo oblasti na světě.

1) Blokování podsítí

V tomto příkladu chceme omezit přístup klienta v naší síti LAN1 (192.168.1.100) k jakémukoli klientovi v síti LAN2 (192.168.2.1).

Nejprve přejděte do řídicího centra Nebula a přejděte na:

dyn_repppp_0

Poté přidejte"pravidlo odchozího spojení":
V tomto příkladu blokujeme cokoli z adresy 192.168.1.100 (většinou v rozsahu podsítě LAN1) do adresy 192.168.2.1/24.
mceclip0.png

2) Blokování geoIP

Nová funkce pravidel brány firewall obsahuje v systému Nebula funkci GeoIP, pomocí které můžete povolit nebo blokovat pouze určité země. Protože nelze blokovat regiony (Asie, Severní Amerika atd.)[aktualizace: leden 2023], doporučujeme povolit pouze země, kterým důvěřujete.

Například pokud máte hlavní kancelář ve Švédsku a kancelář ve Velké Británii a zároveň nastavíte server DNS na 8.8.8.8 v síti LAN (která se nachází v USA), můžete nastavit pravidlo povolující pouze Švédsko, Velkou Británii a USA a pak blokovat vše ostatní, jak je uvedeno níže:

Co je třeba vzít v úvahu:

  • Při testování pravidla brány firewall nejspíše budete pingovat (při pohledu na náš příklad) IP adresu rozhraní brány LAN2 a ke svému překvapení zjistíte, že stále můžete pingovat bránu! Je to proto, že IP adresa vlastního rozhraní je nastavena na zónu firewallu mimo obě sítě LAN1 nebo LAN2, ale ve skutečnosti je samotné zařízení, označované také jako "ZyWall"
  • Použití níže uvedených služeb bezpečnostní brány umožní přístup k určitým službám z WAN na zařízení ("ZyWall"). Pokud zadáte do obou polí libovolné např. klienti z WAN mohou jak pingovat, tak přistupovat k jednotce na portu WAN vias HTTPS

  • Na pozadí probíhá spousta pravidel. Zde malý pohled na některá pravidla brány firewall, jak jsou natvrdo zakódována v konfiguraci jednotky:
    mceclip2.png
    Tato pravidla se v řídicím centru Nebula nezobrazují a nelze je měnit.

Články v tomto oddílu

Zobrazit další
Byl pro vás tento článek užitečný?
Počet uživatelů, kteří toto označili za užitečné: 0 z 4
Sdílet

Komentáře

0 komentářů

Prosím přihlaste se, abyste mohli napsat komentář.