Nebula - Konfiguracja reguł zapory sieciowej na bramie bezpieczeństwa [zasady bezpieczeństwa]

Utworzono - Zaktualizowano
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Masz więcej pytań? Wyślij zgłoszenie

Ważna informacja:
Drogi kliencie, pamiętaj, że korzystamy z tłumaczenia maszynowego, aby dostarczać artykuły w Twoim lokalnym języku. Nie wszystkie teksty mogą być przetłumaczone dokładnie. W przypadku pytań lub rozbieżności dotyczących dokładności informacji w przetłumaczonej wersji, prosimy o zapoznanie się z oryginalnym artykułem tutaj:Wersja oryginalna

W tym artykule pokażemy, jak zablokować określony ruch w zaporze [USG FLEX, ATP Series]. W tym samouczku przeprowadzimy Cię przez niezbędne kroki w Nebula Control Center (NCC), aby zablokować ruch. Możesz blokować ruch poprzez podsieci, Geo-IP lub blokować wszystko i zezwalać tylko na określone podsieci lub regiony na świecie.

1) Blokowanie podsieci

W tym przykładzie chcemy ograniczyć klientowi w naszej sieci LAN1 (192.168.1.100) dostęp do dowolnego klienta w sieci LAN2 (192.168.2.1).

Najpierw przejdź do Centrum sterowania Nebula i przejdź do:

dyn_repppp_0

Następnie dodaj"regułę wychodzącą":
W tym przykładzie blokujemy wszystko od 192.168.1.100 (głównie w zakresie podsieci LAN1) do 192.168.2.1/24.
mceclip0.png

2) Blokowanie GeoIP

Nowa funkcja reguł zapory obejmuje GeoIP w Nebula, gdzie można zezwolić lub zablokować tylko niektóre kraje. Ponieważ nie można blokować regionów (Azja, Ameryka Północna itp.)[aktualizacja: styczeń 2023], zalecamy zezwalanie tylko na zaufane kraje.

Na przykład, jeśli masz główne biuro w Szwecji i biuro w Wielkiej Brytanii, a także ustawiasz serwer DNS na 8.8.8.8 w sieci LAN (która znajduje się w USA), możesz ustawić regułę zezwalającą tylko na Szwecję, Wielką Brytanię i USA, a następnie zablokować wszystko inne, jak pokazano poniżej:

Rzeczy do rozważenia:

  • Podczas testowania reguły zapory najprawdopodobniej będziesz pingować (patrząc na nasz przykład) adres IP interfejsu bramy LAN2 i ku swojemu szokowi odkryjesz, że nadal możesz pingować bramę! Czy dzieje się tak dlatego, że adres IP interfejsu jest ustawiony na strefę firewall poza LAN1 lub LAN2, ale w rzeczywistości jest to samo urządzenie, określane również jako "ZyWall"
  • Korzystanie z poniższych usług bramy bezpieczeństwa umożliwi dostęp do określonych usług z sieci WAN do urządzenia ("ZyWall"). Jeśli wprowadzisz w obu polach dowolne dane, np. klienci z sieci WAN mogą zarówno pingować, jak i uzyskiwać dostęp do urządzenia na porcie WAN przez HTTPS.

  • W tle działa wiele reguł. Oto mały rzut oka na niektóre reguły zapory sieciowej zakodowane na stałe w konfiguracji urządzenia:
    mceclip2.png
    Nie są one wyświetlane w Nebula Control Center i nie można ich zmienić.

Artykuły w tej sekcji

Pokaż więcej
Czy ten artykuł był pomocny?
Liczba użytkowników, którzy uważają ten artykuł za przydatny: 0 z 4
Udostępnij

Komentarze

Komentarze: 0

Zaloguj się, aby dodać komentarz.