Firewall Zyxel - Come configurare l'eccezione IP per aggirare i servizi di sicurezza su Nebula

Nebula Control Center offre una funzione di eccezione IP che consente a host specifici di bypassare i servizi di sicurezza. Questa funzione è utile quando si dispone di client o server affidabili che non devono essere ispezionati dal Filtro contenuti, dall'Anti-Malware o da altre funzioni di sicurezza ogni volta che accedono a Internet. Si creano profili di eccezione IP nella pagina Servizio di sicurezza in Nebula e si applicano alla configurazione del firewall.

Elenco dei modelli supportati (gestiti da Nebula):

• Serie ATP

• Serie USG FLEX

• Serie USG FLEX H

Come funziona l'eccezione IP

Quando il traffico corrisponde a una voce IP Exception configurata (in base all'IP di origine e all'IP di destinazione), il firewall salta i servizi di sicurezza selezionati per quel traffico. Le regole del firewall continuano a decidere se la sessione è consentita o negata, ma l'ispezione di sicurezza per il traffico corrispondente viene bypassata, migliorando le prestazioni per gli host noti.

Usi tipici:

• Permettere a un host interno fidato di accedere a Internet senza l'ispezione del filtro dei contenuti.

• Consentire al traffico verso un server esterno specifico di bypassare i servizi di sicurezza selezionati.

Fasi di configurazione su Nebula

1. Accedere a Nebula Control Center e selezionare il proprio sito.

2. Andare su Configura → Firewall → Servizio di sicurezza.

3. Nella sezione Eccezione IP, fare clic su +Aggiungi per creare un nuovo profilo.

4. Compilare i campi:

   • IP di origine - l'indirizzo o l'intervallo IP del client che deve bypassare i servizi di sicurezza.

   • IP di destinazione - l'indirizzo o l'intervallo IP del server che deve essere esente (o qualsiasi, se si desidera bypassare tutte le destinazioni).

   • Descrizione - una descrizione chiara, ad esempio: Bypass per 192.168.8.33.

     Fare clic su Salva / Applica per inviare il profilo al firewall gestito da Nebula.

Consentire a un host LAN di aggirare il filtro dei contenuti

Questo esempio mostra come funziona IP Exception in uno scenario reale.

Scenario

• Un criterio di sicurezza con Filtro contenuti è configurato per bloccare la sottorete 192.168.8.0/24 dalle visite ai motori di ricerca come www.google.com..

• Uno specifico host in quella sottorete con indirizzo IP 192.168.8.33 deve poter accedere a questi siti senza essere bloccato.

Passo 1 - Criterio del filtro dei contenuti

Un criterio del firewall è già configurato in modo che gli utenti di 192.168.8.0/24 non possano navigare nei siti dei motori di ricerca. Se un host in questo intervallo tenta di visitare www.google.comla connessione viene bloccata dal Filtro contenuti

Passo 2 - Creare il profilo IP Exception

1. In Nebula, andare su Configura → Firewall → Servizio di sicurezza → Eccezione IP.

2. Fare clic su +Aggiungi e configurare:

   • IP di origine: 192.168.8.33

   • IP di destinazione: l'IP/intervallo utilizzato dai siti bloccati (o qualsiasi altro, a seconda del progetto).

   • Descrizione: Host 192.168.8.33 bypassare il Filtro contenuti.

3. Salvare e applicare il profilo in modo che venga inviato al firewall.

Risultato

• L'host 192.168.8.33 è ora autorizzato a bypassare i servizi di sicurezza come il Filtro contenuti.

• Questo host può navigare normalmente su www.google.com mentre gli altri client in 192.168.8.0/24 sono ancora bloccati dal criterio del Filtro contenuti esistente.

Migliori pratiche

• Utilizzare l'Eccezione IP solo per host o destinazioni affidabili (ad esempio, server interni o PC degli amministratori).

• Mantenere chiare le descrizioni (includere IP e scopo) in modo che sia facile verificare le eccezioni in seguito.

• Rivedere regolarmente le voci delle eccezioni IP per verificare che siano ancora necessarie.

Configurando IP Exception in Nebula come illustrato sopra, è possibile regolare con precisione l'equilibrio tra sicurezza e prestazioni sui firewall ATP / USG FLEX / USG FLEX H.