Важное замечание: |
В этой статье показано, как заблокировать определенный трафик в брандмауэре [USG FLEX, ATP Series]. В этом руководстве мы проведем вас через необходимые шаги в Центре управления Nebula (NCC) для блокировки трафика. Вы можете либо заблокировать трафик через подсети, Geo-IP, либо заблокировать все и разрешить только определенные подсети или регионы в мире.
1) Блокировка подсети
В этом примере мы хотим ограничить доступ клиента в нашей локальной сети 1 (192.168.1.100) к любому клиенту в локальной сети 2 (192.168.2.1).
Сначала перейдите в Центр управления Nebula и перейдите по ссылке:
Gateway > Configure > Firewall
Затем добавьте « исходящее правило »:
В этом примере мы блокируем все от 192.168.1.100 (в основном в пределах диапазона подсети LAN1) до 192.168.2.1/24.
2) Блокировка по геоIP
Новая функция правила брандмауэра включает GeoIP в Nebula, где вы можете разрешать или блокировать только определенные страны. Поскольку вы не можете заблокировать регионы (Азия, Северная Америка и т. д.) [ обновление: январь 2023 г.], мы рекомендуем разрешать доступ только тем странам, которым вы доверяете.
Например, если ваш главный офис находится в Швеции, и у вас есть офис в Великобритании, и вы также установили DNS-сервер на 8.8.8.8 в локальной сети (которая находится в США), вы можете установить правило, разрешающее только Швецию. , Великобритания и США, а затем вы блокируете все остальное, как показано ниже:
Что следует учитывать:
- При тестировании правила брандмауэра, скорее всего, вы пропингуете (если смотреть на наш пример) IP-адрес интерфейса шлюза LAN2 и, к своему шоку, обнаружите, что вы все еще можете пропинговать шлюз! Это потому, что собственный IP-адрес интерфейса установлен в зону брандмауэра за пределами как LAN1, так и LAN2, но на самом деле само устройство, также называемое «ZyWall»,
- Использование приведенных ниже служб безопасности Gateway позволит обеспечить доступ к определенным службам из глобальной сети на устройстве («ZyWall»). Если вы введете в оба поля что-нибудь, например, клиенты из WAN смогут как пинговать, так и обращаться к устройству через WAN-порт через HTTPS.
- В фоновом режиме происходит множество правил. Вот небольшой обзор некоторых правил брандмауэра, жестко закодированных в конфигурации устройства:
Они не отображаются в Центре управления Nebula и не подлежат изменению.
Комментарии
0 комментариев
Войдите в службу, чтобы оставить комментарий.