Zyxel Firewall - Hur man konfigurerar IP-undantag för att kringgå säkerhetstjänster på Nebula

Nebula Control Center tillhandahåller en funktion för IP-undantag som gör det möjligt för specifika värdar att kringgå säkerhetstjänster. Detta är användbart när du har betrodda klienter eller servrar som inte bör inspekteras av innehållsfilter, anti-malware eller andra säkerhetsfunktioner varje gång de kommer åt internet. Du skapar IP-undantagsprofiler på sidan Security Service i Nebula och tillämpar dem på brandväggskonfigurationen.

Lista över modeller som stöds (Nebula-hanterad):

• ATP-serien

• USG FLEX-serien

• USG FLEX H-serien

Hur IP-undantag fungerar

När trafik matchar en konfigurerad post för IP-undantag (baserat på käll-IP och destinations-IP) hoppar brandväggen över de valda säkerhetstjänsterna för den trafiken. Brandväggsreglerna avgör fortfarande om sessionen ska tillåtas eller nekas, men säkerhetsinspektionen för den matchade trafiken förbigås, vilket förbättrar prestandan för kända värdar.

Typiska användningsområden:

• Tillåter en betrodd intern värd att få åtkomst till internet utan inspektion av innehållsfilter.

• Tillåta trafik till en specifik extern server att kringgå utvalda säkerhetstjänster.

Konfigurationssteg för Nebula

1. Logga in på Nebula Control Center och välj din webbplats.

2. Navigera till Konfigurera → Brandvägg → Säkerhetstjänst.

3. I avsnittet IP-undantag klickar du på +Lägg till för att skapa en ny profil.

4. Fyll i fälten:

   • Source IP - klientens IP-adress eller intervall som ska kringgå säkerhetstjänster.

   • Destination IP - serverns IP-adress eller intervall som ska undantas (eller alla, om du vill kringgå alla destinationer).

   • Beskrivning - en tydlig beskrivning, t.ex: Förbikoppla för 192.168.8.33.

     Klicka på Save / Apply så att profilen skickas till den Nebula-hanterade brandväggen.

Tillåt en LAN-värd att kringgå innehållsfilter

Det här exemplet visar hur IP Exception fungerar i ett verkligt scenario.

Scenario

• En säkerhetspolicy med Content Filter är konfigurerad för att blockera subnätet 192.168.8.0/24 från att besöka sökmotorer som www.google.com.

• En specifik värd i det undernätet med IP-adress 192.168.8.33 ska tillåtas att komma åt dessa webbplatser utan att blockeras.

Steg 1 - Policy för innehållsfilter

En brandväggspolicy är redan konfigurerad så att användare i 192.168.8.0/24 inte kan surfa på sökmotorwebbplatser. Om någon värd i det här intervallet försöker besöka www.google.comblockeras anslutningen av innehållsfiltret.

Steg 2 - Skapa IP-undantagsprofilen

1. I Nebula går du till Konfigurera → Brandvägg → Säkerhetstjänst → IP-undantag.

2. Klicka på +Lägg till och konfigurera:

   • Käll-IP: 192.168.8.33

   • Destination IP: den IP/det intervall som används av de blockerade webbplatserna (eller någon, beroende på din design).

   • Beskrivning: Värd 192.168.8.33 förbigår innehållsfilter.

3. Spara och tillämpa profilen så att den skickas till brandväggen.

Resultat

• Värden 192.168.8.33 tillåts nu att kringgå säkerhetstjänster som t.ex. innehållsfilter.

• Den här värden kan surfa på www.google.com som vanligt, medan andra klienter i 192.168.8.0/24 fortfarande blockeras av den befintliga policyn för innehållsfilter.

Bästa praxis

• Använd IP-undantag endast för betrodda värdar eller destinationer (t.ex. interna servrar eller administratörsdatorer).

• Håll beskrivningarna tydliga (inkludera IP och syfte) så att det är lätt att granska undantagen senare.

• Granska posterna för IP-undantag regelbundet för att se om de fortfarande behövs.

Genom att konfigurera IP Undantag i Nebula enligt ovan kan du finjustera balansen mellan säkerhet och prestanda på dina ATP/USSG FLEX/USSG FLEX H-brandväggar.