Zyxel-brannmur - Slik konfigurerer du IP-unntak for å omgå sikkerhetstjenester på Nebula

Nebula Control Center har en IP-unntaksfunksjon som gjør det mulig for bestemte verter å omgå sikkerhetstjenester. Dette er nyttig når du har betrodde klienter eller servere som ikke skal inspiseres av innholdsfilter, anti-malware eller andre sikkerhetsfunksjoner hver gang de får tilgang til Internett. Du oppretter IP-unntaksprofiler under Sikkerhetstjeneste-siden i Nebula og bruker dem i brannmurkonfigurasjonen.

Liste over modeller som støttes (PRD_N_rZ_rZcUOEUy4G_0-administrert):

• ATP-serien

• USG FLEX-serien

• USG FLEX H-serien

Slik fungerer IP-unntak

Når trafikk samsvarer med en konfigurert IP-unntaksoppføring (basert på kilde-IP og destinasjons-IP), hopper brannmuren over de valgte sikkerhetstjenestene for den aktuelle trafikken. Brannmurreglene avgjør fortsatt om økten skal tillates eller avslås, men sikkerhetsinspeksjonen for trafikken som samsvarer, omgås, noe som forbedrer ytelsen for verter som er kjent som gode.

Typiske bruksområder:

• Tillater at en klarert intern vert får tilgang til Internett uten innholdsfilterinspeksjon.

• Tillate trafikk til en spesifikk ekstern server å omgå utvalgte sikkerhetstjenester.

Konfigurasjonstrinn på Nebula

1. Logg på Nebula Control Center, og velg nettstedet ditt.

2. Gå til Konfigurer → Brannmur → Sikkerhetstjeneste.

3. I delen IP-unntak klikker du på +Legg til for å opprette en ny profil.

4. Fyll ut feltene:

   • Kilde-IP - klientens IP-adresse eller -område som skal omgå sikkerhetstjenester.

   • Destinasjons-IP - serverens IP-adresse eller -område som skal unntas (eller alle, hvis du ønsker å omgå alle destinasjoner).

   • Beskrivelse - en tydelig beskrivelse, for eksempel: Omgå for 192.168.8.33.

     Klikk på Lagre / Bruk slik at profilen blir overført til den Nebula-administrerte brannmuren.

Tillat at én LAN-vert omgår innholdsfilteret

Dette eksemplet viser hvordan IP Unntak fungerer i et reelt scenario.

Scenario

• En sikkerhetspolicy med innholdsfilter er konfigurert for å blokkere undernettet 192.168.8.0/24 fra å besøke søkemotorer som www.google.com.

• En bestemt vert i dette undernettet med IP-adressen 192.168.8.33 skal få tilgang til disse nettstedene uten å bli blokkert.

Trinn 1 - Policy for innholdsfilter

En brannmurpolicy er allerede konfigurert slik at brukere i 192.168.8.0/24 ikke kan surfe på søkemotorenes nettsteder. Hvis en host i dette området prøver å besøke www.google.comblir tilkoblingen blokkert av innholdsfilteret.

Trinn 2 - Opprett IP-unntaksprofilen

1. I Nebula går du til Konfigurer → Brannmur → Sikkerhetstjeneste → IP Unntak.

2. Klikk på +Legg til og konfigurer:

   • Kilde-IP: 192.168.8.33

   • Destinasjons-IP: IP-en/området som brukes av de blokkerte nettstedene (eller et hvilket som helst, avhengig av designet ditt).

   • Beskrivelse: Host 192.168.8.33 omgå innholdsfilteret.

3. Lagre og bruk profilen slik at den blir overført til brannmuren.

Resultat

• Verten 192.168.8.33 har nå tillatelse til å omgå sikkerhetstjenester som Content Filter.

• Denne verten kan surfe på www.google.com som normalt, mens andre klienter i 192.168.8.0/24 fortsatt er blokkert av den eksisterende policyen for innholdsfilter.

Beste praksis

• Bruk IP Unntak bare for pålitelige verter eller destinasjoner (for eksempel interne servere eller administratorers PC-er).

• Hold beskrivelsene klare (inkluder IP og formål), slik at det er enkelt å revidere unntakene senere.

• Gå regelmessig gjennom IP-unntaksoppføringer for å sikre at de fortsatt er nødvendige.

Ved å konfigurere IP-unntak i Nebula som vist ovenfor, kan du finjustere balansen mellom sikkerhet og ytelse på ATP/ USG FLEX/ USG FLEX H-brannmurene.