Zyxel Firewall - Как настроить исключение IP-адресов для обхода служб безопасности на Nebula

Nebula Control Center предоставляет функцию IP Exception, которая позволяет определенным узлам обходить службы безопасности. Это полезно, когда у вас есть доверенные клиенты или серверы, которые не должны проверяться фильтрами содержимого, защиты от вредоносного ПО или другими функциями безопасности при каждом выходе в Интернет. Вы создаете профили IP Exception на странице Security Service в Nebula и применяете их к конфигурации брандмауэра.

Список поддерживаемых моделей (Nebula-управляемые):

• серия ATP

• серия USG FLEX

• Серия USG FLEX H

Принцип работы IP-исключения

Когда трафик соответствует настроенной записи IP Exception (на основе IP-адреса источника и IP-адреса назначения), брандмауэр пропускает выбранные службы безопасности для этого трафика. Правила брандмауэра по-прежнему решают, разрешить или запретить сеанс, но проверка безопасности для соответствующего трафика обходится, что повышает производительность для известных хостов.

Типичное применение:

• Разрешение доверенному внутреннему узлу доступа в Интернет без проверки фильтра содержимого.

• Разрешение трафика на определенный внешний сервер в обход выбранных служб безопасности.

Шаги настройки на Nebula

1. Войдите в Центр управления Nebula и выберите свой сайт.

2. Перейдите в раздел Настроить → Брандмауэр → Служба безопасности.

3. В разделе Исключение IP-адресов нажмите +Добавить, чтобы создать новый профиль.

4. Заполните поля:

   • Source IP - IP-адрес клиента или диапазон, который должен обходить службы безопасности.

   • IP-адрес назначения - IP-адрес или диапазон сервера, который должен быть исключен (или любой, если вы хотите исключить все пункты назначения).

   • Описание - четкое описание, например: Обход для 192.168.8.33.

     Нажмите Сохранить / Применить, чтобы профиль был передан на управляемый брандмауэр Nebula.

Разрешение одному узлу локальной сети обходить фильтр содержимого

Этот пример показывает, как работает IP Exception в реальном сценарии.

Сценарий

• Политика безопасности с фильтром содержимого настроена на блокирование посещения поисковых систем подсети 192.168.8.0/24, таких как www.google.com..

• Определенному узлу в этой подсети с IP-адресом 192.168.8.33 должен быть разрешен доступ к этим сайтам без блокировки.

Шаг 1 - Политика фильтрации содержимого

Политика брандмауэра уже настроена таким образом, что пользователи в диапазоне 192.168.8.0/24 не могут просматривать сайты поисковых систем. Если любой хост в этом диапазоне попытается посетить www.google.comто соединение будет заблокировано фильтром содержимого.

Шаг 2 - Создание профиля исключения IP-адресов

1. В Nebula перейдите в меню Настроить → Брандмауэр → Служба безопасности → IP Exception.

2. Нажмите +Добавить и настройте:

   • IP-адрес источника: 192.168.8.33

   • IP-адрес назначения: IP-адрес/диапазон, используемый заблокированными сайтами (или любой другой, в зависимости от вашего дизайна).

   • Описание: Хост 192.168.8.33 обходить фильтр содержимого.

3. Сохраните и примените профиль, чтобы он был передан на брандмауэр.

Результат

• Хосту 192.168.8.33 теперь разрешено обходить службы безопасности, такие как Content Filter.

• Этот хост может просматривать www.google.com нормально, в то время как другие клиенты в 192.168.8.0/24 по-прежнему блокируются существующей политикой Content Filter.

Лучшие практики

• Используйте IP-исключения только для доверенных узлов или мест назначения (например, внутренних серверов или компьютеров администраторов).

• Составляйте четкие описания (включайте IP и цель), чтобы потом было легко проверить исключения.

• Регулярно просматривайте записи IP Exception, чтобы убедиться, что они еще нужны.

Настроив IP Exception в Nebula, как показано выше, вы сможете точно настроить баланс между безопасностью и производительностью на своих межсетевых экранах ATP / USG FLEX / USG FLEX H.