防火牆 Geo IP 功能介紹
Zyxel Employee
Geo IP 是什麼?
Geo-IP 為國家地理位置位址物件,可讓您封鎖來自特定國家/地區的網路流量,這將允許您封鎖通常比較可疑/眾所周知是惡意攻擊來源的國家。在網際網路開放的世界中,這一點變得特別重要,而另一方面,也可能存在著多種出於經濟和政治動機的衝突。
注意:Geo-IP 功能曾經是內容過濾器的一部分,因此需要授權才能使用。但是,自從韌體 v5.02 (ATP / USG FLEX) 和 v4.65 (USG / ZyWall110/310/1100) 起,此功能已作為免費功能,無需額外費用即可獲得強大的的安全功能!
Geo IP 設定教學
在以下的設定範例中,我們將展示如何阻止來自特定國家/地區的流量 。範例中,北韓是我們要阻擋的國家/地區。
設定步驟
1 、 輸入防火牆 IP 位址和管理員帳號密碼(預設情況下,使用者名稱是“admin”,密碼是“1234”)
2 、 前往 設定 > 物件 > 位址/地理 IP,然後按一下“新增”
3 、 輸入物件的名稱,選擇“GEOGRAPHY”作為位址類型,選擇所需的國家/地區,然後按一下“OK"
4 、 前往“Geo IP”頁面卡,您可以更新 Geo IP 資料庫、配置資料庫的自動更新計劃、建立 IPv4 到地理規則並測試不同的 IP 以查看它們屬於哪個國家/地區
5 、 前往設定 > 安全性策略 > 策略控制,點擊“新增”防火牆規則
6 、 輸入規則名稱(自訂能辨識即可),參數設定如下圖
- 從:any
- 至:any(Excluding Zywall)
- 來源 : 選擇剛才新增的 Geo IP 物件
- 目的地 : any
- 動作:deny
7 、 確認防火牆規則設為啟用後,只要從該國家/地區到您的內部網路的連線將被阻擋
8 、 若您的規則有啟用"紀錄拒絕的流量",則可以在「監控」>「日誌」查看封鎖紀錄。
注意:要同時阻止該國家/地區對您的 ZyWall 的連線,您需要建立第二條防火牆規則,類似於上方建立的規則,僅將目的地設定為「ZyWall」,即可阻擋往防火牆的流量。另請注意,使用代理伺服器的分散式攻擊可能會掩蓋攻擊的來源國家/地區,因此 Geo-IP 功能只能提供一定程度的安全性。
