Nebula - Konfigurácia pravidiel brány firewall na bezpečnostnej bráne [Bezpečnostná politika]

Vytvorené - Aktualizované
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Máte ďalšie otázky? Vložiť žiadosť

Dôležité upozornenie:
Upozornenie: Vážený zákazník, upozorňujeme, že na poskytovanie článkov v miestnom jazyku používame strojový preklad. Nie všetok text môže byť preložený presne. Ak sa vyskytnú otázky alebo nezrovnalosti týkajúce sa presnosti informácií v preloženej verzii, prečítajte si prosím pôvodný článok tu: Pôvodná verzia

Tento článok vám ukáže, ako blokovať konkrétnu prevádzku na bráne firewall [USG FLEX, séria ATP]. V tomto návode vás prevedieme potrebnými krokmi v riadiacom centre Nebula (NCC) na blokovanie prevádzky. Môžete blokovať prevádzku prostredníctvom podsietí, Geo-IP alebo blokovať všetko a povoliť len určité podsiete alebo regióny sveta.

1) Blokovanie podsietí

V tomto príklade chceme obmedziť prístup klienta v našej sieti LAN1 (192.168.1.100) k akémukoľvek klientovi v sieti LAN2 (192.168.2.1).

Najprv prejdite do riadiaceho centra Nebula a prejdite na:

Site-wide > Configure > Firewall > Security Policy

Potom pridajte"pravidlo odchádzajúceho spojenia":
V tomto príklade blokujeme čokoľvek z adresy 192.168.1.100 (väčšinou v rozsahu podsiete LAN1) do 192.168.2.1/24
mceclip0.png

2) Blokovanie geoIP

Nová funkcia pravidiel brány firewall obsahuje GeoIP v systéme Nebula, kde môžete povoliť alebo blokovať len určité krajiny. Keďže nemôžete blokovať regióny (Ázia, Severná Amerika atď.)[aktualizácia: január 2023], odporúčame povoliť len tie krajiny, ktorým dôverujete.

Napríklad, ak máte hlavnú kanceláriu vo Švédsku a kanceláriu v Spojenom kráľovstve a zároveň ste nastavili server DNS na 8.8.8.8 v sieti LAN (ktorá sa nachádza v USA), môžete nastaviť pravidlo, ktoré povoľuje len Švédsko, Spojené kráľovstvo a USA, a potom zablokujete všetko ostatné, ako je uvedené nižšie:

Čo je potrebné zvážiť:

  • Pri testovaní pravidla firewallu budete s najväčšou pravdepodobnosťou pingovať (pri pohľade na náš príklad) IP adresu rozhrania brány LAN2 a s prekvapením zistíte, že stále môžete pingovať bránu! Je to preto, že vlastná IP rozhrania je nastavená na zónu firewall mimo siete LAN1 aj LAN2, ale v skutočnosti samotné zariadenie, označované aj ako "ZyWall"
  • Použitie nižšie uvedených služieb bezpečnostnej brány umožní, aby boli špecifické služby prístupné z WAN na zariadenie ("ZyWall"). Ak do oboch polí zadáte ľubovoľné napr. klienti z WAN môžu pingovať aj pristupovať k zariadeniu na WAN-port vias HTTPS

  • Na pozadí prebieha množstvo pravidiel. Tu je malý pohľad na niektoré pravidlá brány firewall, ako sú natvrdo zakódované v konfigurácii jednotky:
    mceclip2.png
    Tieto pravidlá sa nezobrazujú v riadiacom centre Nebula a nie je možné ich meniť.

Články v tejto sekcii

Zobraziť viac
Pomohol Vám tento článok?
0 z 4 to považovali za užitočné
Zdieľať

Príspevky

0 komentárov

Ak chcete napísať komentár, prihlásiť sa.