Nebula - Firewallregels configureren op je beveiligingsgateway [Beveiligingsbeleid].

Gemaakt - Bijgewerkt
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Hebt u meer vragen? Een aanvraag indienen

Belangrijke mededeling:
Geachte klant, houd er rekening mee dat we gebruik maken van automatische vertaling om artikelen in uw lokale taal aan te bieden. Het is mogelijk dat niet alle tekst nauwkeurig wordt vertaald. Als er vragen of discrepanties zijn over de juistheid van de informatie in de vertaalde versie, bekijk dan het originele artikel hier:Originele versie

Dit artikel laat zien hoe je specifiek verkeer kunt blokkeren op je firewall [USG FLEX, ATP Series]. In deze tutorial leiden we je door de benodigde stappen op het Nebula Control Center (NCC) om verkeer te blokkeren. Je kunt verkeer blokkeren door middel van subnetten, Geo-IP of alles blokkeren en alleen bepaalde subnetten of regio's in de wereld toestaan.

1) Subnet blokkeren

In dit voorbeeld willen we een client in ons LAN1 (192.168.1.100) beperken om toegang te krijgen tot elke client in LAN2 (192.168.2.1).

Navigeer eerst naar het Nebula Control Center en ga naar:

Site-wide > Configure > Firewall > Security Policy

Voeg vervolgens een"uitgaande regel" toe:
In dit voorbeeld blokkeren we alles van 192.168.1.100 (meestal binnen het LAN1-subnetbereik) tot 192.168.2.1/24
mceclip0.png

2) GeoIP blokkeren

De nieuwe firewall regel functie bevat GeoIP in de Nebula waar je alleen bepaalde landen kunt toestaan of blokkeren. Omdat je geen regio's kunt blokkeren (Azië, Noord-Amerika etc.)[update: jan 2023], raden we je aan om alleen die landen toe te staan die je vertrouwt.

Als je bijvoorbeeld je hoofdkantoor in Zweden hebt, en je hebt een kantoor in het VK, en je hebt ook de DNS-server ingesteld op 8.8.8.8 op LAN (dat zich in de VS bevindt), kun je een regel instellen die alleen Zweden, het VK en de VS toestaat en dan blokkeer je al het andere zoals hieronder wordt weergegeven:

Dingen om rekening mee te houden:

  • Wanneer je de firewall regel test, zul je waarschijnlijk (als je naar ons voorbeeld kijkt) het IP van de LAN2 gateway interface pingen en tot je schrik erachter komen dat je de gateway nog steeds kunt pingen! Is dit omdat het eigen IP van de interface is ingesteld op een firewall-zone buiten zowel LAN1 of LAN2, maar eigenlijk het apparaat zelf, ook wel "ZyWall" genoemd?
  • Door de Security Gateway Services hieronder te gebruiken, worden specifieke services toegankelijk vanaf WAN op het apparaat ("ZyWall"). Als je beide velden invult, kunnen bijvoorbeeld clients vanaf het WAN zowel pingen als toegang krijgen tot het apparaat op de WAN-poort vias HTTPS

  • Er zijn veel regels op de achtergrond aan de gang. Hier is een kleine glimp van enkele van de firewall regels zoals die hard gecodeerd zijn in de configuratie van de unit:
    mceclip2.png
    Deze worden niet weergegeven in het Nebula Control Center en kunnen niet worden gewijzigd.

Artikelen in deze sectie

Zie meer
Was dit artikel nuttig?
Aantal gebruikers dat dit nuttig vond: 0 van 4
Delen

Opmerkingen

0 opmerkingen

U moet u aanmelden om een opmerking te plaatsen.