Nebula - Konfigurer brannmurregler på Security Gateway [Sikkerhetspolicy].

Opprettet - Oppdatert
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Har du flere spørsmål? Send oss en henvendelse

Viktig merknad:
Kjære kunde, vær oppmerksom på at vi bruker maskinoversettelse for å levere artikler på ditt lokale språk. Det er ikke sikkert at all tekst er nøyaktig oversatt. Hvis det er spørsmål eller uoverensstemmelser om nøyaktigheten av informasjonen i den oversatte versjonen, kan du lese originalartikkelen her:Originalversjon

Denne artikkelen viser deg hvordan du blokkerer spesifikk trafikk på brannmuren [USG FLEX, ATP-serien]. I denne veiledningen vil vi guide deg gjennom de nødvendige trinnene i Nebula Control Center (NCC) for å blokkere trafikk. Du kan enten blokkere trafikk ved hjelp av subnett, Geo-IP eller blokkere alt og bare tillate visse subnett eller regioner i verden.

1) Blokkering av undernett

I dette eksemplet ønsker vi å hindre en klient i LAN1 (192.168.1.100) i å få tilgang til en klient i LAN2 (192.168.2.1).

Gå først til Nebula Control Center og gå til:

Site-wide > Configure > Firewall > Security Policy

Deretter legger du til en"utgående regel":
I dette eksemplet blokkerer vi alt fra 192.168.1.100 (for det meste innenfor LAN1-undernettområdet) til 192.168.2.1/24.
mceclip0.png

2) GeoIP-blokkering

Den nye brannmurregelfunksjonen inkluderer GeoIP i Nebula, der du kan tillate eller blokkere bare visse land. Siden du ikke kan blokkere regioner (Asia, Nord-Amerika osv.)[oppdatering: januar 2023], anbefaler vi at du bare tillater de landene du stoler på.

Hvis du for eksempel har hovedkontor i Sverige og et kontor i Storbritannia, og du også har satt DNS-serveren til 8.8.8.8 på LAN (som ligger i USA), kan du sette en regel som bare tillater Sverige, Storbritannia og USA, og deretter blokkere alt annet som vist nedenfor:

Ting du bør tenke på:

  • Når du tester brannmurregelen, vil du sannsynligvis pinge (i vårt eksempel) IP-en til LAN2-gateway-grensesnittet og til ditt store sjokk oppdage at du fortsatt kan pinge gatewayen! Er dette fordi grensesnittets egen IP er satt til en brannmursone utenfor både LAN1 eller LAN2, men faktisk selve enheten, også referert til som "ZyWall"?
  • Ved å bruke Security Gateway Services nedenfor kan du gjøre bestemte tjenester tilgjengelige fra WAN til enheten ("ZyWall"). Hvis du angir begge feltene, kan klienter fra WAN både pinge og få tilgang til enheten på WAN-porten via HTTPS.

  • Det foregår mange regler i bakgrunnen. Her er et lite glimt av noen av brannmurreglene som er hardkodet i konfigurasjonen av enheten:
    mceclip2.png
    Disse vises ikke i Nebula Control Center og kan ikke endres.

Artikler i denne seksjonen

Se mer
Var denne artikkelen nyttig?
0 av 4 syntes dette var nyttig
Del

Kommentarer

0 kommentarer

Logg på hvis du vil legge inn en kommentar.