Fontos értesítés: |
Nebula A Vezérlőközpont olyan IP kivétel funkciót biztosít, amely lehetővé teszi, hogy bizonyos hosztok megkerüljék a biztonsági szolgáltatásokat. Ez akkor hasznos, ha olyan megbízható ügyfelek vagy kiszolgálók vannak, amelyeket nem szabad, hogy a tartalomszűrő, a kártevőirtó vagy más biztonsági funkciók minden egyes internet-hozzáféréskor vizsgáljanak. Az IP kivétel profilokat a Nebula biztonsági szolgáltatás lapon hozhatja létre, és alkalmazhatja a tűzfal konfigurációjában.
Támogatott modellek listája (Nebula-menedzselt):
ATP sorozat
USG FLEX sorozat
USG FLEX H sorozat
Hogyan működik az IP kivétel
Ha a forgalom megfelel egy konfigurált IP Exception bejegyzésnek (a Forrás IP és a Cél IP alapján), a tűzfal kihagyja a kiválasztott biztonsági szolgáltatásokat az adott forgalom számára. A tűzfalszabályok továbbra is döntenek a munkamenet engedélyezéséről vagy elutasításáról, de az egyező forgalom biztonsági ellenőrzése megkerülésre kerül, ami javítja a teljesítményt az ismert jó hostok esetében.
Tipikus felhasználási módok:
Megbízható belső állomás számára az internet elérésének engedélyezése tartalomszűrő-ellenőrzés nélkül.
Egy adott külső kiszolgálóhoz irányuló forgalom engedélyezése a kiválasztott biztonsági szolgáltatások megkerülésével.
A Nebula konfigurációs lépései
Jelentkezzen be a Nebula Vezérlőközpontba, és válassza ki a webhelyét.
Navigáljon a Konfigurálás → Tűzfal → Biztonsági szolgáltatás menüpontra.
Az IP kivétel szakaszában kattintson a +Add gombra egy új profil létrehozásához.
-
Töltse ki a mezőket:
Forrás IP - az ügyfél IP-címe vagy tartománya, amelynek meg kell kerülnie a biztonsági szolgáltatásokat.
Cél IP - a kiszolgáló IP-címe vagy tartománya, amelyet ki kell vonni (vagy
bármelyik, ha minden célállomás esetében meg akarja kerülni).-
Leírás - egyértelmű leírás, például:
Megkerülése a 192.168.8.33-hoz.Kattintson a Mentés / Alkalmazás gombra, így a profil átkerül a Nebula által kezelt tűzfalra.
Egy LAN-állomásnak engedélyezi a tartalomszűrő megkerülését
Ez a példa azt mutatja, hogyan működik az IP-kivétel egy valós forgatókönyvben.
Forgatókönyv
Egy tartalomszűrővel rendelkező biztonsági házirend úgy van beállítva, hogy blokkolja a
192.168.8.0/24alhálózatot a keresőmotorok, például a www.google.com látogatásától..
Egy bizonyos 192.168.8.33 IP-címmel rendelkező állomásnak az alhálózatban engedélyezni kell, hogy blokkolás nélkül hozzáférjen ezekhez az oldalakhoz.
1. lépés - Tartalomszűrő házirend
A tűzfal házirend már úgy van beállítva, hogy a 192.168.8.0/24-es alhálózat felhasználói ne böngészhessenek keresőmotoros oldalakon. Ha bármelyik állomás ebben a tartományban megpróbálja meglátogatni a www.google.com oldalt ., a kapcsolatot a tartalomszűrő blokkolja.
2. lépés - Az IP kivétel profil létrehozása
A Nebula-ban lépjen a Configure → Firewall → Security Service → IP Exception menüpontra.
-
Kattintson a +Add és konfiguráljon:
Forrás IP:
192.168.8.33Cél IP: a blokkolt webhelyek által használt IP/tartomány (vagy
bármelyik, a tervezéstől függően).Leírás: A
192.168.8.33 állomás megkerüli a tartalomszűrőt.
Mentse és alkalmazza a profilt, hogy az átkerüljön a tűzfalra.
Eredmény
A 192.168.8.33 állomás mostantól megkerülheti a biztonsági szolgáltatásokat, például a Tartalomszűrőt.
Ez az állomás böngészhet a www.google.com címen. normálisan, míg a
192.168.8.0/24-escím más klienseit továbbra is blokkolja a meglévő tartalomszűrő házirend.
Legjobb gyakorlatok
Az IP-kivételt csak megbízható állomáshelyeken vagy célállomásokon (például belső kiszolgálókon vagy a rendszergazdák számítógépein) használja.
A leírások legyenek egyértelműek (tartalmazzák az IP-t és a célt), így később könnyen ellenőrizhetők a kivételek.
Rendszeresen vizsgálja felül az IP Exception bejegyzéseket, hogy megbizonyosodjon arról, hogy még mindig szükség van rájuk.
A PRD_N_rZcUcUOEUy4G_0-ban az IP Exception fenti módon történő konfigurálásával finomhangolhatja az ATP / USG FLEX / USG FLEX H tűzfalakon a biztonság és a teljesítmény közötti egyensúlyt.
Hozzászólások
0 hozzászólásHozzászólások írásához jelentkezzen be.