Zyxel Firewall - Sådan konfigureres IP-undtagelse til at omgå sikkerhedstjenester på Nebula

Nebula Control Center indeholder en IP-undtagelsesfunktion, der gør det muligt for bestemte værter at omgå sikkerhedstjenester. Det er nyttigt, når du har betroede klienter eller servere, som ikke skal inspiceres af indholdsfilter, anti-malware eller andre sikkerhedsfunktioner, hver gang de får adgang til internettet. Du opretter IP-undtagelsesprofiler under siden Security Service i Nebula og anvender dem på firewallkonfigurationen.

Liste over understøttede modeller (Nebula-administreret):

• ATP-serien

• USG FLEX-serien

• USG FLEX H-serien

Sådan fungerer IP-undtagelse

Når trafik matcher en konfigureret IP-undtagelsespost (baseret på kilde-IP og destinations-IP), springer firewallen de valgte sikkerhedstjenester over for den pågældende trafik. Firewallreglerne bestemmer stadig, om sessionen skal tillades eller afvises, men sikkerhedsinspektion for den matchede trafik omgås, hvilket forbedrer ydeevnen for kendte gode værter.

Typiske anvendelser:

• Tillader en betroet intern vært at få adgang til internettet uden indholdsfilterinspektion.

• Tillader trafik til en specifik ekstern server at omgå udvalgte sikkerhedstjenester.

Konfigurationstrin på Nebula

1. Log ind på Nebula Control Center, og vælg dit websted.

2. Naviger til Configure → Firewall → Security Service.

3. I afsnittet IP Undtagelse skal du klikke på +Tilføj for at oprette en ny profil.

4. Udfyld felterne:

   • Kilde-IP - klientens IP-adresse eller -område, som skal omgå sikkerhedstjenester.

   • Destination IP - serverens IP-adresse eller -område, som skal undtages (eller alle, hvis du vil omgå alle destinationer).

   • Beskrivelse - en klar beskrivelse, f.eks: Bypass for 192.168.8.33.

     Klik på Save / Apply, så profilen skubbes til den Nebula-administrerede firewall.

Tillad en LAN-vært at omgå indholdsfilteret

Dette eksempel viser, hvordan IP Exception fungerer i et virkeligt scenarie.

Scenarie

• En sikkerhedspolitik med indholdsfilter er konfigureret til at blokere subnet 192.168.8.0/24 fra at besøge søgemaskiner som www.google.com.

• En bestemt vært i dette undernet med IP-adressen 192.168.8.33 skal have lov til at få adgang til disse websteder uden at blive blokeret.

Trin 1 - Politik for indholdsfilter

Der er allerede konfigureret en firewall-politik, så brugere i 192.168.8.0/24 ikke kan browse på søgemaskiner. Hvis en host i dette område forsøger at besøge www.google.combliver forbindelsen blokeret af indholdsfilteret.

Trin 2 - Opret IP-undtagelsesprofilen

1. I Nebula skal du gå til Configure → Firewall → Security Service → IP Exception.

2. Klik på +Tilføj, og konfigurer:

   • Kilde-IP: 192.168.8.33

   • Destination IP: den IP/det område, der bruges af de blokerede websteder (eller et hvilket som helst, afhængigt af dit design).

   • Description: Beskrivelse: Vært 192.168.8.33 bypass indholdsfilter.

3. Gem og anvend profilen, så den skubbes til firewallen.

Resultat

• Værten 192.168.8.33 har nu tilladelse til at omgå sikkerhedstjenester som f.eks. indholdsfilter.

• Denne host kan browse www.google.com normalt, mens andre klienter i 192.168.8.0/24 stadig er blokeret af den eksisterende politik for indholdsfilter.

Bedste praksis

• Brug kun IP-undtagelser til værter eller destinationer, der er tillid til (f.eks. interne servere eller administratorernes pc'er).

• Hold beskrivelserne klare (inkluder IP og formål), så det er nemt at revidere undtagelser senere.

• Gennemgå IP Exception-poster regelmæssigt for at sikre, at de stadig er nødvendige.

Ved at konfigurere IP Exception i Nebula som vist ovenfor kan du finjustere balancen mellem sikkerhed og ydeevne på dine ATP/USG FLEX/USG FLEX H-firewalls.