Nebula - Настройка правил брандмауэра на шлюзе безопасности [Политика безопасности]

Создан - Обновлено
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Еще есть вопросы? Отправить запрос

Важное уведомление:
Уважаемый покупатель, пожалуйста, обратите внимание, что мы используем машинный перевод для предоставления статей на вашем родном языке. Не весь текст может быть переведен точно. В случае возникновения вопросов или несоответствия точности информации в переведенной версии, пожалуйста, ознакомьтесь с оригинальной статьей здесь:Original Version

В этой статье мы расскажем вам о том, как блокировать определенный трафик на вашем межсетевом экране [USG FLEX, ATP Series]. В этом руководстве мы расскажем вам о необходимых шагах по блокированию трафика в центре управления Nebula Control Center (NCC). Вы можете блокировать трафик через подсети, Geo-IP или блокировать все и разрешать только определенные подсети или регионы мира.

1) Блокирование подсетей

В данном примере мы хотим ограничить доступ клиента в LAN1 (192.168.1.100) к любому клиенту в LAN2 (192.168.2.1).

Сначала перейдите в центр управления Nebula и перейдите по ссылке:

Site-wide > Configure > Firewall > Security Policy

Затем добавьте"исходящее правило":
В данном примере мы блокируем все, что находится в диапазоне от 192.168.1.100 (в основном в диапазоне подсети LAN1) до 192.168.2.1/24
mceclip0.png

2) Блокирование GeoIP

Новая функция правил брандмауэра включает в себя GeoIP в Nebula, где вы можете разрешать или блокировать только определенные страны. Поскольку вы не можете блокировать регионы (Азия, Северная Америка и т.д.)[update: Jan 2023], мы рекомендуем разрешать только те страны, которым вы доверяете.

Например, если ваш главный офис находится в Швеции, а офис в Великобритании, и вы также установили DNS-сервер на 8.8.8.8 в локальной сети (которая находится в США), вы можете установить правило, разрешающее только Швецию, Великобританию и США, а затем заблокировать все остальное, как показано ниже:

Что следует учесть:

  • При тестировании правила брандмауэра, скорее всего, вы будете пинговать (если рассматривать наш пример) IP-адрес шлюза LAN2 и, к своему шоку, обнаружите, что по-прежнему можете пинговать шлюз! Это происходит потому, что собственный IP-адрес интерфейса установлен в межсетевую зону вне LAN1 или LAN2, а на самом деле само устройство, также называемое "ZyWall".
  • Использование описанных ниже служб шлюза безопасности позволит обеспечить доступ определенных служб из глобальной сети к устройству ("ZyWall"). Если ввести в оба поля любые значения, например, клиенты из глобальной сети смогут как пинговать, так и получать доступ к устройству через WAN-порт по HTTPS

  • В фоновом режиме действует множество правил. Вот небольшой обзор некоторых правил брандмауэра, жестко заложенных в конфигурацию устройства:
    mceclip2.png
    Они не отображаются в центре управления Nebula и не могут быть изменены.

Статьи в этом разделе

Больше
Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 4
Поделиться

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.