Nebula 防火牆規則設定教學 [安全策略]
Zyxel Employee
前言
本文將向您說明如何阻擋防火牆上的特定流量 [USG FLEX、ATP、VPN 系列]。在本篇教學中,我們將指導您完成 Nebula 防火牆規則所需的步驟。
Nebula 防火牆可以通過子網路、Geo-IP 、FQDN、國家地理位址 (GeoIP) 來阻擋流量,以下透過幾個範例,向各位說明如何設定 Nebula 防火牆規則。
Nebula 防火牆規則設定範例 :
首先,請前往 Nebula 以下位置:
整個站點 > 設定 > 防火牆 > 安全性政策
1. 阻擋 IP 位址
網管人員想要限制 LAN1 中的使用者 192.168.1.100 連接 LAN2 中的使用者 192.168.2.1 所有類型的傳輸。
如下圖範例,新增一條 “規則” 設定阻擋來源 192.168.1.100 到目的地 192.168.2.1 的任何流量。
記得勾選 "啟用"、動作選擇 "拒絕" ,名稱可自行定義,設定完成請記得點選 "儲存"。
來源、目的地位址設定範例 :
單一 IP 位址
子網路遮罩
特定範圍 IP 位址
綜合類型
不同類型的 IP 位指可設定在同一規則
2. 阻擋特定服務
網管人員想要限制內部使用者存取 TCP 80 Port 的傳輸,避免不安全的連線。
如下圖,設定封鎖目的地服務為 TCP 80 Port 的流量
記得勾選 "啟用"、動作選擇 "拒絕" ,名稱可自行定義,來源、目的地選擇 "任何",設定完成請記得點選 "儲存"。
目的地服務埠設定範例 :
先選擇服務埠協定
單一服務埠
特定範圍服務埠
綜合設定
3. 網站封鎖 (FQDN)
FQDN(Fully-Qualified Domain Name,完整網域名稱)可以看作一個網站的網址,
公司希望阻擋特定網站傳輸,則可以透過 FQDN 封鎖。
以下範例為封鎖內部使用者前往 Youtube 的傳輸 。
目前無法在一個目的地設定多筆 FQDN ,預計未來會新增此功能。現階段如需封鎖多個 FQDN ,請先設定多筆規則。
4. 國家地理 IP 位址封鎖
網管人員發現特定國家傳輸流量異常,則可透過此功能封鎖指定國家的所有傳輸流量。
以下範例為封鎖所有往 "南非" 與 "瑞士" 的傳輸流量 :
記得勾選 "啟用"、動作選擇 "拒絕" ,名稱可自行定義,來源選擇 "任何",設定完成請記得點選 "儲存"。
5. 優先權順序調整
防火牆規則具有優先權屬性,傳輸流量從優先權最高的規則開始比對,一旦符合規則,就不會在繼續往下比對。
因此規則順序很重要,如果允許的規則高於阻擋的規則,管理員將無法封鎖特定的流量。
如下圖,對著紅色框框的符號,按住滑鼠左鍵即可拖曳規則,調整順序。
6. 防火牆規則排程
網管人員希望特定時間才開啟特定防火牆規則,此時透過排程功能即可達成。
以下範例為,只在上班時間(8-17)封鎖 Youtube 。
首先新增排程物件,設定位置於防火牆規則頁面最底部 :
排程可使用範本或自行調整時間條,建議自訂物件名稱。
將排程物件套用到指定規則,即可在特定時間讓規則生效。
設定完成記得點選儲存。
注意事項
IP 位址、國家地理位址(GeoIP)、FQDN ,這三種參數無法設定在相同欄位。
備註
- 測試防火牆規則時,假設您已經設定封鎖所有 LAN1 到 LAN2 的流量,您很可能會 ping LAN2 防火牆介面 IP,此時您會發現您仍然可以 ping 成功!這是因為介面 IP 屬於 Device ,不在 IP 位址的範圍,因此不符合封鎖的規則。而預設值已允許 LAN1 到 Device ,因此仍然可以 ping 成功。
- 如要允許從 WAN 連接防火牆(“設備”)上的特定服務,請參考以下設定範例 :
強烈建議指定特定來源 IP ,限制只有特定外部 IP 允許連接防火牆,否則將有資安風險。
