Nebula - Konfigurer firewall-regler på din sikkerhedsgateway [Sikkerhedspolitik]

Oprettet - Opdateret
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Har du flere spørgsmål? Indsend en anmodning

Vigtig meddelelse:
Kære kunde, vær venligst opmærksom på, at vi bruger maskinoversættelse til at levere artikler på dit lokale sprog. Det er ikke sikkert, at al tekst er oversat nøjagtigt. Hvis der er spørgsmål eller uoverensstemmelser om nøjagtigheden af oplysningerne i den oversatte version, bedes du læse den originale artikel her:Originalversion

Denne artikel viser dig, hvordan du blokerer specifik trafik på din firewall [USG FLEX, ATP Series]. I denne vejledning vil vi guide dig gennem de nødvendige trin på Nebula Control Center (NCC) for at blokere trafik. Du kan enten blokere trafik gennem subnetting, Geo-IP eller blokere alt og kun tillade visse subnets eller regioner i verden.

1) Blokering af undernet

I dette eksempel ønsker vi at begrænse en klient i vores LAN1 (192.168.1.100) til at få adgang til enhver klient i LAN2 (192.168.2.1).

Først skal du navigere til Nebula Control Center og gå til:

Site-wide > Configure > Firewall > Security Policy

Tilføj derefter en"udgående regel":
I dette eksempel blokerer vi alt fra 192.168.1.100 (for det meste inden for LAN1-undernetområdet) til 192.168.2.1/24.
mceclip0.png

2) GeoIP-blokering

Den nye firewallregel-funktion inkluderer GeoIP i Nebula, hvor du kun kan tillade eller blokere bestemte lande. Da du ikke kan blokere regioner (Asien, Nordamerika osv.)[opdatering: januar 2023], anbefaler vi, at du kun tillader de lande, som du stoler på.

Hvis du for eksempel har dit hovedkontor i Sverige, og du har et kontor i Storbritannien, og du også indstiller DNS-serveren til 8.8.8.8 på LAN (som er placeret i USA), kan du indstille en regel, der kun tillader Sverige, Storbritannien og USA, og så blokerer du alt andet som vist nedenfor:

Ting, du skal overveje:

  • Når du tester firewall-reglen, vil du sandsynligvis pinge (når vi ser på vores eksempel) LAN2-gateway-interfacets IP og til dit chok finde ud af, at du stadig kan pinge gatewayen! Er det, fordi interfacets egen IP er sat til en firewall-zone uden for både LAN1 eller LAN2, men faktisk selve enheden, også kaldet "ZyWall"?
  • Brug af Security Gateway Services nedenfor vil gøre det muligt at få adgang til specifikke tjenester fra WAN til enheden ("ZyWall"). Hvis du indtaster begge felter, kan klienter fra WAN både pinge og få adgang til enheden på WAN-porten via HTTPS.

  • Der foregår masser af regler i baggrunden. Her er et lille glimt af nogle af firewall-reglerne, som er hardcoded i enhedens konfiguration:
    mceclip2.png
    Disse vises ikke på Nebula Control Center og kan ikke ændres.

Artikler i denne sektion

Se mere
Var denne artikel en hjælp?
0 ud af 4 fandt dette nyttigt
Del

Kommentarer

0 kommentarer

Log ind for at kommentere.