Nebula 防火牆規則設定教學 [安全策略]

Zyxel小編 Corey

前言

本文將向您說明如何阻擋防火牆上的特定流量 [USG FLEX、ATP、VPN 系列]。在本篇教學中，我們將指導您完成 Nebula 防火牆規則所需的步驟。

Nebula 防火牆可以通過子網路、Geo-IP 、FQDN、國家地理位址 (GeoIP) 來阻擋流量，以下透過幾個範例，向各位說明如何設定 Nebula 防火牆規則。

Nebula 防火牆規則設定範例 :

首先，請前往 Nebula 以下位置：

整個站點 > 設定 > 防火牆 > 安全性政策

1. 阻擋 IP 位址

網管人員想要限制 LAN1 中的使用者 192.168.1.100 連接 LAN2 中的使用者 192.168.2.1 所有類型的傳輸。

如下圖範例，新增一條 “規則” 設定阻擋來源 192.168.1.100 到目的地 192.168.2.1 的任何流量。

記得勾選 "啟用"、動作選擇 "拒絕" ，名稱可自行定義，設定完成請記得點選 "儲存"。

來源、目的地位址設定範例 :

單一 IP 位址

子網路遮罩

特定範圍 IP 位址

綜合類型

不同類型的 IP 位指可設定在同一規則

2. 阻擋特定服務

網管人員想要限制內部使用者存取 TCP 80 Port 的傳輸，避免不安全的連線。

如下圖，設定封鎖目的地服務為 TCP 80 Port 的流量

記得勾選 "啟用"、動作選擇 "拒絕" ，名稱可自行定義，來源、目的地選擇 "任何"，設定完成請記得點選 "儲存"。

目的地服務埠設定範例 :

先選擇服務埠協定

單一服務埠

特定範圍服務埠

綜合設定

3. 網站封鎖 (FQDN)

FQDN（Fully-Qualified Domain Name，完整網域名稱）可以看作一個網站的網址，

公司希望阻擋特定網站傳輸，則可以透過 FQDN 封鎖。

以下範例為封鎖內部使用者前往 Youtube 的傳輸 。

目前無法在一個目的地設定多筆 FQDN ，預計未來會新增此功能。現階段如需封鎖多個 FQDN ，請先設定多筆規則。

4. 國家地理 IP 位址封鎖

網管人員發現特定國家傳輸流量異常，則可透過此功能封鎖指定國家的所有傳輸流量。

以下範例為封鎖所有往 "南非" 與 "瑞士" 的傳輸流量 :

記得勾選 "啟用"、動作選擇 "拒絕" ，名稱可自行定義，來源選擇 "任何"，設定完成請記得點選 "儲存"。

5. 優先權順序調整

防火牆規則具有優先權屬性，傳輸流量從優先權最高的規則開始比對，一旦符合規則，就不會在繼續往下比對。

因此規則順序很重要，如果允許的規則高於阻擋的規則，管理員將無法封鎖特定的流量。

如下圖，對著紅色框框的符號，按住滑鼠左鍵即可拖曳規則，調整順序。

6. 防火牆規則排程

網管人員希望特定時間才開啟特定防火牆規則，此時透過排程功能即可達成。

以下範例為，只在上班時間(8-17)封鎖 Youtube 。

首先新增排程物件，設定位置於防火牆規則頁面最底部 :

排程可使用範本或自行調整時間條，建議自訂物件名稱。

將排程物件套用到指定規則，即可在特定時間讓規則生效。

設定完成記得點選儲存。

注意事項

IP 位址、國家地理位址(GeoIP)、FQDN ，這三種參數無法設定在相同欄位。

備註

• 測試防火牆規則時，假設您已經設定封鎖所有 LAN1 到 LAN2 的流量，您很可能會 ping LAN2 防火牆介面 IP，此時您會發現您仍然可以 ping 成功！這是因為介面 IP 屬於 Device ，不在 IP 位址的範圍，因此不符合封鎖的規則。而預設值已允許 LAN1 到 Device ，因此仍然可以 ping 成功。

• 如要允許從 WAN 連接防火牆（“設備”）上的特定服務，請參考以下設定範例 :

強烈建議指定特定來源 IP ，限制只有特定外部 IP 允許連接防火牆，否則將有資安風險。