Zyxel-palomuuri - IP-poikkeuksen määrittäminen Nebula-turvapalvelujen ohittamiseksi

Nebula Control Center tarjoaa IP Exception -ominaisuuden, jonka avulla tietyt isännät voivat ohittaa turvapalvelut. Tämä on hyödyllistä, kun käytössäsi on luotettavia asiakkaita tai palvelimia, joita ei pitäisi tarkastaa sisältösuodattimella, haittaohjelmien torjunnalla tai muilla tietoturvaominaisuuksilla joka kerta, kun ne käyttävät Internetiä. IP Exception -profiilit luodaan Nebula:n Security Service -sivulla ja sovelletaan palomuurin kokoonpanoon.

Tuettujen mallien luettelo (Nebula-hallittu):

• ATP-sarja

• USG FLEX -sarja

• USG FLEX H -sarja

Miten IP-poikkeus toimii

Kun liikenne vastaa määritettyä IP Exception -merkintää ( lähde-IP:n ja määränpää-IP:n perusteella), palomuuri ohittaa valitut turvapalvelut kyseisen liikenteen osalta. Palomuurisäännöt päättävät edelleen, sallitaanko istunto vai kielletäänkö se, mutta sovitetun liikenteen turvatarkastus ohitetaan, mikä parantaa suorituskykyä tunnettujen isäntien osalta.

Tyypillisiä käyttötarkoituksia:

• Luotetun sisäisen isännän pääsyn salliminen Internetiin ilman sisällönsuodattimen tarkastusta.

• Tietylle ulkoiselle palvelimelle suuntautuvan liikenteen salliminen valittujen turvallisuuspalvelujen ohittamiseksi.

Nebula:n määritysvaiheet

1. Kirjaudu sisään Nebula Control Centeriin ja valitse sivustosi.

2. Siirry kohtaan Configure → Firewall → Security Service.

3. Luo uusi profiili IP-poikkeus -osiossa napsauttamalla +Lisää.

4. Täytä kentät:

   • Source IP - asiakkaan IP-osoite tai -alue, jonka pitäisi ohittaa turvapalvelut.

   • Destination IP - palvelimen IP-osoite tai -alue, joka on vapautettava (tai mikä tahansa, jos haluat ohittaa kaikki kohteet).

   • Kuvaus - selkeä kuvaus, esimerkiksi: Bypass for 192.168.8.33.

     Napsauta Save / Apply (Tallenna / Sovelletaan ), jotta profiili siirretään Nebula-hallittuun palomuuriin.

Salli yhden lähiverkon isäntäkoneen ohittaa sisältösuodatin

Tämä esimerkki osoittaa, miten IP-poikkeus toimii todellisessa skenaariossa.

Skenaario

• Sisältösuodattimella varustettu suojauskäytäntö on määritetty estämään aliverkon 192.168.8.0/24 vierailut hakukoneisiin, kuten www.google.com..

• Tietyn kyseisessä aliverkossa olevan isännän, jonka IP-osoite on 192.168.8.33, pitäisi saada käyttää näitä sivustoja estämättä.

Vaihe 1 - Sisällönsuodatuskäytäntö

Palomuurikäytäntö on jo määritetty siten, että 192.168.8.0/24:n käyttäjät eivät voi selata hakukonesivustoja. Jos jokin tämän alueen isäntä yrittää vierailla osoitteessa www.google.com., yhteys estetään Content Filter -suodattimella

Vaihe 2 - Luo IP-poikkeusprofiili

1. Siirry Nebula:ssa kohtaan Configure → Firewall → Security Service → IP Exception.

2. Napsauta +Lisää ja määritä:

   • Lähde-IP: 192.168.8.33.

   • Kohde-IP: estettyjen sivustojen käyttämä IP-osoite/alue (tai mikä tahansa, riippuen suunnittelustasi).

   • Kuvaus: Isäntä 192.168.8.33 ohittaa sisällönsuodattimen.

3. Tallenna ja sovella profiilia, jotta se siirtyy palomuuriin.

Tulos

• Isäntä 192.168.8.33 saa nyt ohittaa turvapalvelut, kuten Content Filterin.

• Tämä isäntä voi selata osoitteessa www.google.com. normaalisti, kun taas muut 192.168.8.0/24-alueen asiakkaat estetään edelleen nykyisellä Content Filter -käytännöllä.

Parhaat käytännöt

• Käytä IP-poikkeusta vain luotetuille isännille tai kohteille (esimerkiksi sisäisille palvelimille tai järjestelmänvalvojien tietokoneille).

• Pidä kuvaukset selkeinä (mainitse IP ja tarkoitus), jotta poikkeukset on helppo tarkastaa myöhemmin.

• Tarkista IP Exception -merkinnät säännöllisesti varmistaaksesi, että niitä tarvitaan edelleen.

Määrittämällä IP Exception Nebula-kohdassa yllä esitetyllä tavalla voit hienosäätää ATP / USG FLEX / USG FLEX H -palomuurien turvallisuuden ja suorituskyvyn välistä tasapainoa.