Nebula - Configurare le regole del firewall sul gateway di sicurezza [Criteri di sicurezza].

Creato - Aggiornato
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Altre domande? Invia una richiesta

Avviso importante:
Gentile cliente, si prega di notare che utilizziamo la traduzione automatica per fornire articoli nella vostra lingua locale. Non tutto il testo può essere tradotto accuratamente. Se ci sono domande o discrepanze sull'accuratezza delle informazioni nella versione tradotta, si prega di rivedere l'articolo originale qui:Versione originale

Questo articolo mostra come bloccare un traffico specifico sul firewall [USG FLEX, ATP Series]. In questa esercitazione, vi guideremo attraverso i passaggi necessari nel Nebula Control Center (NCC) per bloccare il traffico. È possibile bloccare il traffico tramite subnetting, Geo-IP o bloccare tutto e consentire solo determinate subnet o regioni del mondo.

1) Blocco della sottorete

In questo esempio, vogliamo impedire a un client della nostra LAN1 (192.168.1.100) di accedere a qualsiasi client della LAN2 (192.168.2.1).

Per prima cosa, accedere al Centro di controllo Nebula e andare su:

Site-wide > Configure > Firewall > Security Policy

Quindi, aggiungere una"regola in uscita":
In questo esempio, blocchiamo tutto ciò che va da 192.168.1.100 (per lo più all'interno della sottorete LAN1) a 192.168.2.1/24.
mceclip0.png

2) Blocco GeoIP

La nuova funzione delle regole del firewall include il GeoIP in Nebula, che consente di consentire o bloccare solo determinati Paesi. Poiché non è possibile bloccare le regioni (Asia, Nord America, ecc.)[aggiornamento: gennaio 2023], si consiglia di consentire solo i Paesi di cui ci si fida.

Ad esempio, se la vostra sede principale è in Svezia e avete un ufficio nel Regno Unito e avete impostato il server DNS su 8.8.8.8 sulla LAN (che si trova negli Stati Uniti), potete impostare una regola che consenta solo la Svezia, il Regno Unito e gli Stati Uniti e bloccare tutto il resto, come mostrato di seguito:

Cose da considerare:

  • Quando si testa la regola del firewall, è molto probabile che si esegua un ping (nel nostro esempio) dell'IP dell'interfaccia del gateway LAN2 e, con grande sorpresa, si scopre che è ancora possibile eseguire il ping del gateway! Ciò è dovuto al fatto che l'IP dell'interfaccia è impostato su una zona firewall esterna a LAN1 o LAN2, ma in realtà è il dispositivo stesso, chiamato anche "ZyWall".
  • L'utilizzo dei Security Gateway Services di seguito riportati consente di accedere a servizi specifici dalla WAN al dispositivo ("ZyWall"). Se si inseriscono entrambi i campi, ad esempio, i client dalla WAN possono sia eseguire il Ping che accedere all'unità sulla porta WAN tramite HTTPS.

  • Ci sono molte regole in background. Ecco un piccolo scorcio di alcune delle regole del firewall codificate nella configurazione dell'unità:
    mceclip2.png
    Queste non sono visualizzate nel Nebula Control Center e non sono modificabili.

Articoli in questa sezione

Vedi altro
Questo articolo ti è stato utile?
Utenti che ritengono sia utile: 0 su 4
Condividi

Commenti

0 commenti

Accedi per aggiungere un commento.