Zyxel Firewall - Comment configurer l'exception IP pour contourner les services de sécurité sur Nebula

Création - Mise à jour
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Vous avez d’autres questions ? Envoyer une demande

Avis important :
Cher client, veuillez noter que nous utilisons la traduction automatique pour fournir des articles dans votre langue locale. Il se peut que certains textes ne soient pas traduits correctement. En cas de questions ou de divergences sur l'exactitude des informations contenues dans la version traduite, veuillez consulter l'article original ici: Version originale

Nebula Control Center offre une fonction d'exception IP qui permet à des hôtes spécifiques de contourner les services de sécurité. Cette fonction est utile lorsque vous avez des clients ou des serveurs de confiance qui ne doivent pas être inspectés par le filtre de contenu, l'anti-malware ou d'autres fonctions de sécurité chaque fois qu'ils accèdent à Internet. Vous créez des profils d'exception IP sous la page Service de sécurité dans Nebula et les appliquez à la configuration du pare-feu.

Liste des modèles pris en charge (Nebula-managed) :

  • Série ATP

  • Série USG FLEX

  • Série USG FLEX H

Fonctionnement de l'exception IP

Lorsque le trafic correspond à une entrée d'exception IP configurée (basée sur l'IP source et l'IP de destination), le pare-feu ignore les services de sécurité sélectionnés pour ce trafic. Les règles du pare-feu décident toujours si la session est autorisée ou refusée, mais l'inspection de sécurité pour le trafic correspondant est contournée, ce qui améliore les performances pour les hôtes connus.

Utilisations typiques :

  • Permettre à un hôte interne de confiance d'accéder à l'internet sans inspection du filtre de contenu.

  • Permettre au trafic vers un serveur externe spécifique de contourner les services de sécurité sélectionnés.

Etapes de configuration sur Nebula

  1. Connectez-vous au centre de contrôle Nebula et sélectionnez votre site.

  2. Naviguez vers Configure → Firewall → Security Service.

  3. Dans la section Exception IP, cliquez sur +Ajouter pour créer un nouveau profil.

  4. Remplissez les champs :

    • IP source - l'adresse ou la plage d'adresses IP du client qui doit contourner les services de sécurité.

    • IP de destination - l'adresse IP du serveur ou la plage d'adresses IP qui doit être exemptée (ou toutes, si vous voulez contourner toutes les destinations).

    • Description - une description claire, par exemple : Contourner pour 192.168.8.33.

      Cliquez sur Enregistrer / Appliquer pour que le profil soit transféré au pare-feu géré par Nebula.

Autoriser un hôte du réseau local à contourner le filtre de contenu

Cet exemple montre comment fonctionne l'exception IP dans un scénario réel.

Scénario

  • Une politique de sécurité avec filtre de contenu est configurée pour empêcher le sous-réseau 192.168.8.0/24 de visiter des moteurs de recherche tels que www.google.com..

  • Un hôte spécifique dans ce sous-réseau avec l'adresse IP 192.168.8.33 devrait être autorisé à accéder à ces sites sans être bloqué.

Étape 1 - Politique de filtrage de contenu

Une politique de pare-feu est déjà configurée pour que les utilisateurs de 192.168.8.0/24 ne puissent pas naviguer sur les sites de moteurs de recherche. Si un hôte de cette zone tente de visiter www.google.com, la connexion est bloquée par le filtre de contenu.la connexion est bloquée par le filtre de contenu

Étape 2 - Créer le profil d'exception IP

  1. Dans Nebula, allez dans Configure → Firewall → Security Service → IP Exception.

  2. Cliquez sur +Ajouter et configurez :

    • IP source: 192.168.8.33

    • IP de destination: l'IP/plage utilisée par les sites bloqués (ou n'importe laquelle, en fonction de votre conception).

    • Description: L'hôte 192.168.8.33 contourne le filtre de contenu.

  3. Sauvegardez et appliquez le profil pour qu'il soit transmis au pare-feu.

Résultat

  • L'hôte 192.168.8.33 est désormais autorisé à contourner les services de sécurité tels que le filtre de contenu.

  • Cet hôte peut naviguer sur www.google.com normalement, alors que les autres clients de 192.168.8.0/24 sont toujours bloqués par la politique de filtrage de contenu existante.

Meilleures pratiques

  • N'utilisez l'exception IP que pour les hôtes ou destinations de confiance (par exemple, les serveurs internes ou les PC des administrateurs).

  • Veillez à ce que les descriptions soient claires (mentionnez l'adresse IP et l'objectif) afin de faciliter l'audit des exceptions par la suite.

  • Réviser régulièrement les entrées de l'exception IP pour s'assurer qu'elles sont toujours nécessaires.

En configurant l'exception IP dans Nebula comme indiqué ci-dessus, vous pouvez affiner l'équilibre entre sécurité et performance sur vos pare-feux ATP / USG FLEX / USG FLEX H.

Articles dans cette section

Afficher plus
Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 0 sur 0
Partager

Commentaires

0 commentaire

Vous devez vous connecter pour laisser un commentaire.