Nebula - Konfigurera brandväggsregler på din Security Gateway [Säkerhetspolicy]

Skapat - Uppdaterad
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Har du fler frågor? Skicka en förfrågan

Viktigt meddelande:
Kära kund, vi ber dig vara medveten om att vi använder maskinöversättning för att tillhandahålla artiklar på ditt lokala språk. Det är inte säkert att all text översätts korrekt. Om det finns frågor eller avvikelser om informationens riktighet i den översatta versionen, vänligen granska originalartikeln här:Originalversion

Den här artikeln visar hur du blockerar specifik trafik på din brandvägg [USG FLEX, ATP-serien]. I den här handledningen guidar vi dig genom de nödvändiga stegen i Nebula Control Center (NCC) för att blockera trafik. Du kan antingen blockera trafik genom subnetting, Geo-IP eller blockera allt och endast tillåta vissa subnät eller regioner i världen.

1) Blockering av undernät

I det här exemplet vill vi begränsa en klient i vårt LAN1 (192.168.1.100) till att komma åt en klient i LAN2 (192.168.2.1).

Navigera först till Nebula Control Center och gå till:

Site-wide > Configure > Firewall > Security Policy

Lägg sedan till en"utgående regel":
I det här exemplet blockerar vi allt från 192.168.1.100 (mestadels inom LAN1:s subnätintervall) till 192.168.2.1/24
mceclip0.png

2) GeoIP-blockering

Den nya funktionen för brandväggsregler inkluderar GeoIP i Nebula där du kan tillåta eller blockera endast vissa länder. Eftersom du inte kan blockera regioner (Asien, Nordamerika etc.)[uppdatering: Jan 2023], rekommenderar vi att du endast tillåter de länder som du litar på.

Om du t.ex. har ditt huvudkontor i Sverige och ett kontor i Storbritannien och du har ställt in DNS-servern till 8.8.8.8 på LAN (som ligger i USA), kan du ställa in en regel som endast tillåter Sverige, Storbritannien och USA och sedan blockera allt annat enligt bilden nedan:

Saker att tänka på:

  • När du testar brandväggsregeln kommer du troligtvis att pinga (när du tittar på vårt exempel) LAN2-gatewaygränssnittets IP och till din chock kommer du att upptäcka att du fortfarande kan pinga gatewayen! Beror detta på att gränssnittets egen IP är inställd på en brandväggszon utanför både LAN1 eller LAN2, utan faktiskt på själva enheten, även kallad "ZyWall"
  • Med hjälp av Security Gateway Services nedan kan specifika tjänster nås från WAN till enheten ("ZyWall"). Om du anger båda fälten kan t.ex. klienter från WAN både pinga och komma åt enheten på WAN-porten via HTTPS

  • Det finns massor av regler i bakgrunden. Här är en liten glimt av några av brandväggsreglerna som är hårdkodade i enhetens konfiguration:
    mceclip2.png
    Dessa visas inte i Nebula Control Center och kan inte ändras.

Artiklar i detta avsnitt

Se fler
Var denna artikel till hjälp?
0 av 4 tyckte detta var till hjälp
Dela

Kommentarer

0 kommentarer

logga in för att lämna en kommentar.