Nebula 防火牆規則設定教學 [安全策略]

Zyxel小編 Corey
Zyxel小編 Corey 文章數: 197  Zyxel Employee
First Answer First Comment Friend Collector Fifth Anniversary
已編輯 四月 2023 Nebula 常見問題

前言

本文將向您說明如何阻擋防火牆上的特定流量 [USG FLEX、ATP、VPN 系列]。在本篇教學中,我們將指導您完成 Nebula 防火牆規則所需的步驟。

Nebula 防火牆可以通過子網路、Geo-IP 、FQDN、國家地理位址 (GeoIP) 來阻擋流量,以下透過幾個範例,向各位說明如何設定 Nebula 防火牆規則。

Nebula 防火牆規則設定範例 :

首先,請前往 Nebula 以下位置:

整個站點 > 設定 > 防火牆 > 安全性政策


1. 阻擋 IP 位址


網管人員想要限制 LAN1 中的使用者 192.168.1.100 連接 LAN2 中的使用者 192.168.2.1 所有類型的傳輸。

如下圖範例,新增一條 “規則” 設定阻擋來源 192.168.1.100 到目的地 192.168.2.1 的任何流量。

記得勾選 "啟用"、動作選擇 "拒絕" ,名稱可自行定義,設定完成請記得點選 "儲存"。

來源、目的地位址設定範例 :

單一 IP 位址

子網路遮罩

特定範圍 IP 位址

綜合類型

不同類型的 IP 位指可設定在同一規則

2. 阻擋特定服務

網管人員想要限制內部使用者存取 TCP 80 Port 的傳輸,避免不安全的連線。

如下圖,設定封鎖目的地服務為 TCP 80 Port 的流量

記得勾選 "啟用"、動作選擇 "拒絕" ,名稱可自行定義,來源、目的地選擇 "任何",設定完成請記得點選 "儲存"。

目的地服務埠設定範例 :

先選擇服務埠協定

單一服務埠

特定範圍服務埠

綜合設定

3. 網站封鎖 (FQDN)

FQDN(Fully-Qualified Domain Name,完整網域名稱)可以看作一個網站的網址,

公司希望阻擋特定網站傳輸,則可以透過 FQDN 封鎖。

以下範例為封鎖內部使用者前往 Youtube 的傳輸 。

目前無法在一個目的地設定多筆 FQDN ,預計未來會新增此功能。現階段如需封鎖多個 FQDN ,請先設定多筆規則。

4. 國家地理 IP 位址封鎖


網管人員發現特定國家傳輸流量異常,則可透過此功能封鎖指定國家的所有傳輸流量。

以下範例為封鎖所有往 "南非" 與 "瑞士" 的傳輸流量 :

記得勾選 "啟用"、動作選擇 "拒絕" ,名稱可自行定義,來源選擇 "任何",設定完成請記得點選 "儲存"。

5. 優先權順序調整

防火牆規則具有優先權屬性,傳輸流量從優先權最高的規則開始比對,一旦符合規則,就不會在繼續往下比對。

因此規則順序很重要,如果允許的規則高於阻擋的規則,管理員將無法封鎖特定的流量。

如下圖,對著紅色框框的符號,按住滑鼠左鍵即可拖曳規則,調整順序。

6. 防火牆規則排程

網管人員希望特定時間才開啟特定防火牆規則,此時透過排程功能即可達成。

以下範例為,只在上班時間(8-17)封鎖 Youtube 。

首先新增排程物件,設定位置於防火牆規則頁面最底部 :

排程可使用範本或自行調整時間條,建議自訂物件名稱。

將排程物件套用到指定規則,即可在特定時間讓規則生效。

設定完成記得點選儲存。

注意事項

IP 位址、國家地理位址(GeoIP)、FQDN ,這三種參數無法設定在相同欄位。

備註

  • 測試防火牆規則時,假設您已經設定封鎖所有 LAN1 到 LAN2 的流量,您很可能會 ping LAN2 防火牆介面 IP,此時您會發現您仍然可以 ping 成功!這是因為介面 IP 屬於 Device ,不在 IP 位址的範圍,因此不符合封鎖的規則。而預設值已允許 LAN1 到 Device ,因此仍然可以 ping 成功。
  • 如要允許從 WAN 連接防火牆(“設備”)上的特定服務,請參考以下設定範例 :

強烈建議指定特定來源 IP ,限制只有特定外部 IP 允許連接防火牆,否則將有資安風險。