Nebula - Konfigurieren Sie Firewall-Regeln auf Ihrem Sicherheits-Gateway [Sicherheitsrichtlinie]

Erstellt - Aktualisiert
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Haben Sie Fragen? Anfrage einreichen

Wichtiger Hinweis:
Sehr geehrte Kundin, sehr geehrter Kunde, bitte beachten Sie, dass wir maschinelle Übersetzung verwenden, um Artikel in Ihrer Landessprache bereitzustellen. Es kann sein, dass nicht alle Texte korrekt übersetzt werden. Sollten Sie Fragen oder Unstimmigkeiten bezüglich der Richtigkeit der Informationen in der übersetzten Version haben, lesen Sie bitte den Originalartikel hier:Originalversion

Dieser Artikel zeigt Ihnen, wie Sie bestimmten Datenverkehr auf Ihrer Firewall [USG FLEX, ATP-Serie] blockieren können. In diesem Tutorial führen wir Sie durch die erforderlichen Schritte im Nebula Control Center (NCC), um den Datenverkehr zu blockieren. Sie können den Datenverkehr entweder durch Subnetting oder Geo-IP blockieren oder alles blockieren und nur bestimmte Subnetze oder Regionen der Welt zulassen.

1) Subnetz-Blockierung

In diesem Beispiel möchten wir einem Client in unserem LAN1 (192.168.1.100) den Zugriff auf einen Client in LAN2 (192.168.2.1) verwehren.

Navigieren Sie bitte zunächst zum Nebula Control Center und gehen Sie zu:

Site-wide > Configure > Firewall > Security Policy

Fügen Sie dann eine"ausgehende Regel" hinzu:
In diesem Beispiel blockieren wir alles von 192.168.1.100 (hauptsächlich innerhalb des LAN1-Subnetzbereichs) bis 192.168.2.1/24
mceclip0.png

2) GeoIP-Blockierung

Die neue Firewall-Regelfunktion umfasst GeoIP in Nebula, mit der Sie nur bestimmte Länder zulassen oder blockieren können. Da Sie keine Regionen (Asien, Nordamerika usw.) blockieren können[Update: Januar 2023], empfehlen wir, nur die Länder zuzulassen, denen Sie vertrauen.

Wenn Sie beispielsweise Ihren Hauptsitz in Schweden und ein Büro in Großbritannien haben und den DNS-Server auf 8.8.8.8 im LAN (das sich in den USA befindet) einstellen, können Sie eine Regel festlegen, die nur Schweden, Großbritannien und die USA zulässt, und dann alles andere wie unten gezeigt blockieren:

Zu beachtende Punkte:

  • Wenn Sie die Firewall-Regel testen, werden Sie höchstwahrscheinlich (in unserem Beispiel) die IP der LAN2-Gateway-Schnittstelle anpingen und zu Ihrem Entsetzen feststellen, dass Sie das Gateway immer noch anpingen können! Das liegt daran, dass die eigene IP der Schnittstelle auf eine Firewall-Zone außerhalb von LAN1 oder LAN2 eingestellt ist, aber eigentlich das Gerät selbst, auch "ZyWall" genannt
  • Wenn Sie die unten aufgeführten Security Gateway Services verwenden, können bestimmte Dienste vom WAN aus auf das Gerät ("ZyWall") zugreifen. Wenn Sie beide Felder ausfüllen, können z. B. Clients aus dem WAN das Gerät sowohl anpingen als auch über HTTPS über den WAN-Port erreichen

  • Im Hintergrund laufen eine ganze Reihe von Regeln ab. Hier ein kleiner Einblick in einige der Firewall-Regeln, die in der Konfiguration des Geräts fest einkodiert sind:
    mceclip2.png
    Diese werden nicht im Nebula Control Center angezeigt und sind nicht änderbar.

Beiträge in diesem Abschnitt

Weitere anzeigen
War dieser Beitrag hilfreich?
0 von 4 fanden dies hilfreich
Teilen

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.