Nebula 防火牆規則設定教學 [安全策略]

Zyxel小編 Corey
Zyxel小編 Corey 文章數: 204  Zyxel Employee
First Answer First Comment Friend Collector Fifth Anniversary
已編輯 April 2023 Nebula 常見問題

前言

本文將向您說明如何阻擋防火牆上的特定流量 [USG FLEX、ATP、VPN 系列]。在本篇教學中,我們將指導您完成 Nebula 防火牆規則所需的步驟。

Nebula 防火牆可以通過子網路、Geo-IP 、FQDN、國家地理位址 (GeoIP) 來阻擋流量,以下透過幾個範例,向各位說明如何設定 Nebula 防火牆規則。

Nebula 防火牆規則設定範例 :

首先,請前往 Nebula 以下位置:

整個站點 > 設定 > 防火牆 > 安全性政策

image.png


1. 阻擋 IP 位址


網管人員想要限制 LAN1 中的使用者 192.168.1.100 連接 LAN2 中的使用者 192.168.2.1 所有類型的傳輸。

如下圖範例,新增一條 “規則” 設定阻擋來源 192.168.1.100 到目的地 192.168.2.1 的任何流量。

記得勾選 "啟用"、動作選擇 "拒絕" ,名稱可自行定義,設定完成請記得點選 "儲存"。

image.png

來源、目的地位址設定範例 :

單一 IP 位址

image.png

子網路遮罩

image.png

特定範圍 IP 位址

image.png

綜合類型

不同類型的 IP 位指可設定在同一規則

image.png

2. 阻擋特定服務

網管人員想要限制內部使用者存取 TCP 80 Port 的傳輸,避免不安全的連線。

如下圖,設定封鎖目的地服務為 TCP 80 Port 的流量

記得勾選 "啟用"、動作選擇 "拒絕" ,名稱可自行定義,來源、目的地選擇 "任何",設定完成請記得點選 "儲存"。

image.png

目的地服務埠設定範例 :

先選擇服務埠協定

image.png

單一服務埠

image.png

特定範圍服務埠

image.png

綜合設定

image.png

3. 網站封鎖 (FQDN)

FQDN(Fully-Qualified Domain Name,完整網域名稱)可以看作一個網站的網址,

公司希望阻擋特定網站傳輸,則可以透過 FQDN 封鎖。

以下範例為封鎖內部使用者前往 Youtube 的傳輸 。

目前無法在一個目的地設定多筆 FQDN ,預計未來會新增此功能。現階段如需封鎖多個 FQDN ,請先設定多筆規則。

image.png

4. 國家地理 IP 位址封鎖


網管人員發現特定國家傳輸流量異常,則可透過此功能封鎖指定國家的所有傳輸流量。

以下範例為封鎖所有往 "南非" 與 "瑞士" 的傳輸流量 :

記得勾選 "啟用"、動作選擇 "拒絕" ,名稱可自行定義,來源選擇 "任何",設定完成請記得點選 "儲存"。

image.png

5. 優先權順序調整

防火牆規則具有優先權屬性,傳輸流量從優先權最高的規則開始比對,一旦符合規則,就不會在繼續往下比對。

因此規則順序很重要,如果允許的規則高於阻擋的規則,管理員將無法封鎖特定的流量。

如下圖,對著紅色框框的符號,按住滑鼠左鍵即可拖曳規則,調整順序。

image.png 266273.gif

6. 防火牆規則排程

網管人員希望特定時間才開啟特定防火牆規則,此時透過排程功能即可達成。

以下範例為,只在上班時間(8-17)封鎖 Youtube 。

首先新增排程物件,設定位置於防火牆規則頁面最底部 :

image.png

排程可使用範本或自行調整時間條,建議自訂物件名稱。

image.png

將排程物件套用到指定規則,即可在特定時間讓規則生效。

設定完成記得點選儲存。

image.png

注意事項

IP 位址、國家地理位址(GeoIP)、FQDN ,這三種參數無法設定在相同欄位。

備註

  • 測試防火牆規則時,假設您已經設定封鎖所有 LAN1 到 LAN2 的流量,您很可能會 ping LAN2 防火牆介面 IP,此時您會發現您仍然可以 ping 成功!這是因為介面 IP 屬於 Device ,不在 IP 位址的範圍,因此不符合封鎖的規則。而預設值已允許 LAN1 到 Device ,因此仍然可以 ping 成功。
image.png
  • 如要允許從 WAN 連接防火牆(“設備”)上的特定服務,請參考以下設定範例 :

強烈建議指定特定來源 IP ,限制只有特定外部 IP 允許連接防火牆,否則將有資安風險。

image.png