Nebula - Configurer les règles du pare-feu sur la passerelle de sécurité [Politique de sécurité].

Création - Mise à jour
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Vous avez d’autres questions ? Envoyer une demande

Avis important :
Chers clients, sachez que nous utilisons la traduction automatique pour vous fournir des articles dans votre langue locale. Il se peut que certains textes ne soient pas traduits correctement. En cas de questions ou de divergences sur l'exactitude des informations contenues dans la version traduite, veuillez consulter l'article original ici: Version originale

Cet article vous montrera comment bloquer un trafic spécifique sur votre pare-feu [USG FLEX, ATP Series]. Dans ce tutoriel, nous vous guiderons à travers les étapes nécessaires sur le Nebula Control Center (NCC) pour bloquer le trafic. Vous pouvez bloquer le trafic par le biais de sous-réseaux, de géo-IP ou tout bloquer et n'autoriser que certains sous-réseaux ou régions du monde.

1) Blocage de sous-réseau

Dans cet exemple, nous voulons restreindre l'accès d'un client du LAN1 (192.168.1.100) à n'importe quel client du LAN2 (192.168.2.1).

Tout d'abord, veuillez naviguer dans le Nebula Control Center et aller à :

dyn_repppp_0

Ensuite, ajoutez une"règle de sortie" :
Dans cet exemple, nous bloquons tout ce qui se trouve entre 192.168.1.100 (principalement dans le sous-réseau LAN1) et 192.168.2.1/24.
mceclip0.png

2) Blocage du GeoIP

La nouvelle fonction de règle de pare-feu inclut le GeoIP dans Nebula où vous pouvez autoriser ou bloquer seulement certains pays. Comme vous ne pouvez pas bloquer des régions (Asie, Amérique du Nord, etc.)[mise à jour : Jan 2023], nous vous recommandons de n'autoriser que les pays auxquels vous faites confiance.

Par exemple, si votre bureau principal se trouve en Suède, que vous avez un bureau au Royaume-Uni et que vous avez également configuré le serveur DNS sur 8.8.8.8 sur le réseau local (qui est situé aux États-Unis), vous pouvez définir une règle autorisant uniquement la Suède, le Royaume-Uni et les États-Unis, puis bloquer tout le reste, comme indiqué ci-dessous :

Éléments à prendre en considération :

  • Lorsque vous testez la règle de pare-feu, il est très probable que vous fassiez un ping (dans notre exemple) de l'IP de l'interface de la passerelle LAN2 et, à votre grand étonnement, vous découvrirez que vous pouvez toujours faire un ping de la passerelle ! Est-ce parce que l'IP de l'interface est configurée sur une zone de pare-feu en dehors de LAN1 ou LAN2, mais en fait le dispositif lui-même, également appelé "ZyWall" ?
  • L'utilisation des services de passerelle de sécurité ci-dessous permettra à des services spécifiques d'être accessibles depuis le WAN vers le dispositif ("ZyWall"). Si vous entrez dans les deux champs, les clients du WAN peuvent à la fois faire un Ping et accéder à l'unité sur le port WAN via HTTPS.

  • Il existe de nombreuses règles en arrière-plan. Voici un petit aperçu de certaines des règles de pare-feu codées en dur dans la configuration de l'unité :
    mceclip2.png
    Elles ne sont pas affichées sur le Nebula Control Center et ne sont pas modifiables.

Articles dans cette section

Afficher plus
Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 0 sur 4
Partager

Commentaires

0 commentaire

Vous devez vous connecter pour laisser un commentaire.