В этом руководстве будет объяснена концепция объектов, зон, групп, интерфейсов, NAT, брандмауэра и маршрутизации.
Объекты
Важно понять, как работают наши брандмауэры; в основе конфигурации лежат объекты.
Когда вы понимаете, как работают объекты, управление нашими устройствами становится простым и эффективным.
Например, при настройке NAT удобно использовать объекты, чтобы не указывать IP-адрес несколько раз, а переиспользовать объект, который нужно создать только один раз. В этом примере мы создадим объект адреса для хоста, который будет использоваться в NAT.
Перейдите в меню:
Configuration > Object > Address > Add
Когда вы указали хост как объект, вы можете использовать его при создании правила NAT, вместо того чтобы вручную указывать IP-адрес, а затем, когда нужно разрешить трафик от брандмауэра к этому конкретному хосту, вы снова можете переиспользовать объект. Для получения дополнительной информации о создании NAT смотрите ниже:
Настройка правил NAT на USG (Переадресация портов)
Зоны
Для удобства управления полезно использовать зоны. Например, VLAN и LAN могут обмениваться данными, если они находятся в одной зоне, что исключает необходимость отдельно предоставлять доступ.
Это работает и в обратную сторону: если вы хотите разделить доступ между LAN и VLAN, это также возможно.
Зоны можно настроить, перейдя в:
Configuration > Object > Zone
Зоны могут использоваться как группы, которые применяются в правилах брандмауэра, политиках безопасности и интерфейсах.
Вкратце: управляйте интерфейсами, распределяя их по разным зонам в зависимости от ваших потребностей. Вы можете настроить правила брандмауэра для передачи данных между зонами или даже между интерфейсами и/или VPN-туннелями в зоне.
Для получения дополнительной информации о примере разделения VLAN и зон смотрите ниже:
Группы
Похожим образом, как и зоны, группы позволяют объединять пользователей, адреса, хосты или объекты в целом.
Лучший пример — группа сервисов «Default allow WAN to Zywall», где можно настроить, какие сервисы разрешены для доступа с WAN к Zywall.
Перейдите в меню:
Configuration > Object > Service > Service Group
Выберите нужную группу и нажмите редактировать, здесь можно внести необходимые изменения, например, убрать доступ по SSH или HTTPS с WAN.
Как уже упоминалось, также возможно группировать пользователей, адреса и расписания.
Для получения дополнительной информации о группах смотрите статью ниже о группах сервисов:
Интерфейсы
В этом разделе можно настроить роли портов, VLAN, вносить основные изменения в сеть, например, менять адрес LAN и настройки DHCP.
Например, изменение подсети можно выполнить, перейдя по следующему пути:
Configuration > Network > Interface > Ethernet
Выберите нужный LAN / WAN, нажмите редактировать, внесите изменения и нажмите применить.
Для получения дополнительной информации по этой теме смотрите руководство по VLAN ниже:
Как настроить VLAN на устройстве USG
NAT
Трансляция сетевых адресов (NAT), иногда также называемая переадресацией портов. Это используется, если у вас, например, есть сервер, и вы хотите предоставить к нему доступ из интернета.
Настройка NAT выполняется здесь:
Configuration > Network > NAT
Для подробных инструкций смотрите ниже:
Виртуальный сервер против 1:1 NAT
Настройка правил NAT на USG (Переадресация портов)
Брандмауэр
Этот раздел используется для управления самим брандмауэром устройства, также называемым политикой безопасности — Policy Control на наших устройствах. Политика безопасности находится по следующему пути:
Configuration > Security Policy > Policy Control
В этом разделе вы можете создавать, удалять и изменять правила брандмауэра, подробнее смотрите ниже:
Маршрутизация
В этом разделе можно создавать статические маршруты, политические маршруты и многое другое для маршрутизации трафика в вашей сети. Чтобы попасть в этот раздел, перейдите в:
Configuration > Network > Routing
В зависимости от критериев маршруты могут быть настроены для маршрутизации конкретного трафика, подробнее смотрите здесь: Политические маршруты (USG/VPN/ATP) — различные сценарии использования и настройки
VPN
С брандмауэром Zyxel вы можете создавать различные типы VPN, например, SSL VPN, L2TP через IPsec или VPN «site-to-site». Вы можете создать VPN с помощью встроенного мастера или вручную. Чтобы попасть в этот раздел, перейдите в:
Configuration > VPN
Для руководства по созданию L2TP через IPsec для удалённого доступа с помощью мастера смотрите ниже:
Как использовать мастер настройки VPN для создания L2TP VPN на ZyWALL/USG
Комментарии
0 комментариевВойдите в службу, чтобы оставить комментарий.