Zyxel Firewall - Jak skonfigurować wyjątek IP, aby ominąć usługi bezpieczeństwa na Nebula

Nebula Control Center zapewnia funkcję wyjątku IP, która pozwala określonym hostom ominąć usługi bezpieczeństwa. Jest to przydatne, gdy masz zaufanych klientów lub serwery, które nie powinny być sprawdzane przez filtr treści, oprogramowanie anty-malware lub inne funkcje bezpieczeństwa za każdym razem, gdy uzyskują dostęp do Internetu. Profile IP Exception tworzy się na stronie Security Service w Nebula i stosuje do konfiguracji zapory.

Lista obsługiwanych modeli (zarządzanych przez Nebula):

• Seria ATP

• Seria USG FLEX

• Seria USG FLEX H

Jak działa wyjątek IP

Gdy ruch pasuje do skonfigurowanego wpisu wyjątku IP (na podstawie źródłowego adresu IP i docelowego adresu IP), zapora pomija wybrane usługi bezpieczeństwa dla tego ruchu. Reguły zapory nadal decydują, czy sesja jest dozwolona, czy odrzucona, ale inspekcja bezpieczeństwa dla dopasowanego ruchu jest pomijana, co poprawia wydajność dla znanych dobrych hostów.

Typowe zastosowania:

• Zezwalanie zaufanemu hostowi wewnętrznemu na dostęp do Internetu bez inspekcji filtra treści.

• Zezwalanie na ruch do określonego serwera zewnętrznego w celu ominięcia wybranych usług bezpieczeństwa.

Kroki konfiguracji na Nebula

1. Zaloguj się do Centrum zarządzania Nebula i wybierz swoją witrynę.

2. Przejdź do Configure → Firewall → Security Service.

3. W sekcji IP Exception kliknij +Add, aby utworzyć nowy profil.

4. Wypełnij pola:

   • Source IP - adres IP klienta lub zakres, który powinien omijać usługi zabezpieczeń.

   • Docelowy adres IP - adres IP serwera lub zakres, który powinien być wyłączony (lub dowolny, jeśli chcesz ominąć wszystkie miejsca docelowe).

   • Opis - jasny opis, na przykład: Obejście dla 192.168.8.33.

     Kliknij Zapisz / Zastosuj, aby profil został przesłany do zapory zarządzanej przez Nebula.

Zezwalanie jednemu hostowi LAN na ominięcie filtra treści

Ten przykład pokazuje, jak IP Exception działa w rzeczywistym scenariuszu.

Scenariusz

• Polityka bezpieczeństwa z filtrem treści jest skonfigurowana do blokowania podsieci 192.168.8.0/24 przed odwiedzaniem wyszukiwarek takich jak www.google.com..

• Określony host w tej podsieci z adresem IP 192.168.8.33 powinien mieć dostęp do tych stron bez blokowania.

Krok 1 - Polityka filtra treści

Polityka zapory jest już skonfigurowana tak, aby użytkownicy w 192.168.8.0/24 nie mogli przeglądać witryn wyszukiwarek. Jeśli jakikolwiek host w tym zakresie próbuje odwiedzić stronę www.google.compołączenie zostanie zablokowane przez filtr treści

Krok 2 - Utwórz profil wyjątku IP

1. W Nebula przejdź do Configure → Firewall → Security Service → IP Exception.

2. Kliknij +Dodaj i skonfiguruj:

   • Źródłowy adres IP: 192.168.8.33

   • Docelowy adres IP: adres IP/zakres używany przez zablokowane witryny (lub dowolny, w zależności od projektu).

   • Opis: Host 192.168.8.33 omija Filtr treści.

3. Zapisz i zastosuj profil, aby został przesłany do zapory.

Wynik

• Host 192.168.8. 33 może teraz omijać usługi zabezpieczeń, takie jak filtr treści.

• Ten host może przeglądać stronę www.google.com normalnie, podczas gdy inni klienci w 192.168.8.0/24 są nadal blokowani przez istniejącą politykę Content Filter.

Najlepsze praktyki

• Używaj wyjątków IP tylko dla zaufanych hostów lub miejsc docelowych (na przykład serwerów wewnętrznych lub komputerów administratorów).

• Opisy powinny być jasne (zawierać adres IP i cel), aby ułatwić późniejszy audyt wyjątków.

• Regularnie przeglądaj wpisy wyjątków IP, aby upewnić się, że są one nadal potrzebne.

Konfigurując wyjątek IP w Nebula, jak pokazano powyżej, można precyzyjnie dostosować równowagę między bezpieczeństwem a wydajnością zapór ATP / USG FLEX / USG FLEX H.