Nebula - Tűzfalszabályok konfigurálása a biztonsági átjárón [Biztonsági házirend]

Létrehozva - Frissítve
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
További kérdései vannak? Kérelem beküldése

Fontos értesítés:
Kérjük, vegye figyelembe, hogy gépi fordítást használunk, hogy a cikkeket az Ön helyi nyelvén nyújtsuk. Előfordulhat, hogy nem minden szöveget fordítunk le pontosan. Ha a lefordított változatban szereplő információk pontosságával kapcsolatban kérdés vagy eltérés merül fel, kérjük, tekintse meg az eredeti cikket itt: Eredeti változat

Ez a cikk bemutatja, hogyan blokkolhat bizonyos forgalmat a tűzfalán [USG FLEX, ATP sorozat]. Ebben az útmutatóban végigvezetjük a forgalom blokkolásához szükséges lépéseken a Nebula Control Center (NCC) segítségével. A forgalmat blokkolhatja alhálózatokon, Geo-IP-n keresztül, vagy mindent blokkolhat, és csak bizonyos alhálózatokat vagy a világ bizonyos régióit engedélyezheti.

1) Alhálózatok blokkolása

Ebben a példában korlátozni szeretnénk, hogy a LAN1-ben lévő ügyfél (192.168.1.100) ne férhessen hozzá a LAN2-ben lévő bármelyik ügyfélhez (192.168.2.1).

Először navigáljon a Nebula Vezérlőközpontba, és lépjen a következőre:

dyn_repppppppp_0

Ezután adjon hozzá egy"kimenő szabályt":
Ebben a példában mindent blokkolunk, ami a 192.168.1.100-tól a 192.168.2.1/24-ig terjed (leginkább a LAN1 alhálózati tartományon belül).
mceclip0.png

2) GeoIP blokkolás

Az új tűzfalszabály funkció a GeoIP-t is tartalmazza a Nebulában, ahol csak bizonyos országokat engedélyezhet vagy blokkolhat. Mivel nem lehet blokkolni régiókat (Ázsia, Észak-Amerika stb.)[frissítés: 2023. január], javasoljuk, hogy csak azokat az országokat engedélyezze, amelyekben megbízik.

Például, ha a fő irodája Svédországban van, és van egy irodája az Egyesült Királyságban, és a DNS-kiszolgálót is a 8.8.8.8.8-ra állítja be a LAN-on (amely az Egyesült Államokban található), akkor beállíthat egy szabályt, amely csak Svédországot, az Egyesült Királyságot és az Egyesült Államokat engedélyezi, és minden mást blokkol, ahogy az alább látható:

Megfontolandó dolgok:

  • A tűzfalszabály tesztelésekor valószínűleg pingelni fogod (ha a példánkat nézzük) a LAN2 átjáró interfész IP címét, és megdöbbenésedre azt fogod tapasztalni, hogy még mindig tudod pingelni az átjárót! Ez azért van így, mert az interfész saját IP-je a LAN1-en vagy LAN2-n kívül eső tűzfalzónába van beállítva, de valójában maga az eszköz, más néven "ZyWall"
  • Az alábbi Security Gateway Services használatával bizonyos szolgáltatások elérhetők lesznek a WAN-ról az eszközre ("ZyWall"). Ha mindkét mezőbe bármilyen pl. a WAN-ról érkező ügyfelek a WAN-port vias HTTPS-en keresztül mind pingelni, mind hozzáférni tudnak a készülékhez.

  • Rengeteg szabály a háttérben zajlik. Itt egy kis bepillantás az egység konfigurációjába keményen kódolt néhány tűzfalszabályba:
    mceclip2.png
    Ezek nem jelennek meg a Nebula Control Centerben, és nem módosíthatók.

A szakasz cikkei

Több megjelenítése
Hasznos volt ez a cikk?
4/0 szavazó hasznosnak találta ezt
Megosztás

Hozzászólások

0 hozzászólás

Hozzászólások írásához jelentkezzen be.