Nebula 使用地理位置 (Geo-IP) 進行精準流量管控
Zyxel Employee
什麼是 Geo-IP 防護?
在開放的網際網路世界中,網路攻擊時常帶有地域性。Geo-IP (地理位置) 功能,允許管理者根據國家/地區來建立位址物件,並在防火牆中針對這些「國家物件」設定存取規則。
這項功能讓您可以輕鬆地阻擋來自特定高風險國家的連線,或反向地,只允許特定國家的使用者存取您的內部服務,是提升網路邊界安全性的重要工具。
適用對象與版本
適用型號:本篇教學適用於 ATP / USG FLEX / VPN 系列防火牆。
適用版本:本篇教學的截圖與操作,基於 Nebula Control Center 19.00 版本。
Geo-IP 的三大核心應用
在 Nebula 防火牆中,Geo-IP 物件主要應用於以下三種設定,讓您能進行精細的流量管控:
- 防火牆規則 (Security Policy):直接允許或阻擋特定國家的連線。
- 政策路由 (Policy Route):將前往特定國家的流量,指定由特定的 WAN 埠出口。
- 網路位址轉譯 (NAT):限制僅有特定國家的來源 IP,才能存取您對外開放的內部伺服器。
設定教學與應用情境
應用一:使用「防火牆規則」阻擋來自高風險國家的連線
情境說明:
公司的資安報告顯示,近期有大量來自特定國家的惡意掃描活動。為了防患未然,管理者希望直接阻擋所有來自這些高風險國家的連線請求。
設定目標:
建立一條防火牆規則,阻擋 (Deny) 所有從特定國家 (範例:南非) 嘗試連入的流量。
操作步驟:
- 前往 【設定 > 防火牆 > 安全性政策】,點擊「+新增」。
- 參數設定:
欄位 | 設定值 | 說明 |
|---|---|---|
名稱 |
| 自訂一個易懂的名稱。 |
動作 (Action) |
| 選擇「拒絕」來阻擋符合條件的流量。 |
來源 (Source) |
| 此規則適用於所有內部來源的流量。 |
目的地 (Destination) |
| 這是最重要的步驟,鎖定流量的目的地國家。 |
其他欄位 |
| 服務、使用者等保持 |
3. 將規則的優先級調高,並儲存。
應用二:使用「政策路由」將特定國家流量導向指定線路
情境說明:
公司有兩條 WAN 線路,其中 WAN2 是費用較低但速度較慢的線路。管理者希望將連往特定非業務核心國家的流量,都改走 WAN2,以節省主要線路 WAN1 的頻寬。
設定目標:
建立一條政策路由,將內部網路所有前往特定國家的流量,都強制透過 WAN2 出口。
操作步驟:
- 前往 【設定 > 防火牆 > 路由】,在「政策路由」區塊點擊「+新增」。
- 參數設定:
欄位 | 設定值 | 說明 |
|---|---|---|
來源 (Source) |
| 規則適用於所有內部來源的流量。 |
目的地 (Destination) |
| 這是最重要的步驟,用以鎖定流量的目的地國家。 |
類型 (Type) |
| 表示這是一條對外連線的規則,系統會自動執行 SNAT。 |
下一個躍點 (Next-hop) |
| 強制將流量從 |
3. 儲存設定。
應用三:使用「NAT」限制伺服器的存取來源國家
情境說明:
公司在內部架設了一台網站伺服器,並已設定 NAT 規則讓外部使用者可以存取。但基於業務需求,這台伺服器只應提供給台灣地區的使用者。
設定目標:
修改現有的 NAT 規則,限制只有來自「台灣」的 IP 位址,才能成功連接到內部伺服器。
操作步驟:
- 前往【設定 > 防火牆 > NAT】。
- 找到並編輯您要修改的那條 NAT 規則。
- 在規則設定的最下方,找到「允許的遠端 IP」欄位。
- 選擇「地理位置」,然後選擇「台灣 (Taiwan)」。
- 儲存設定。
進階疑難排解
若您發現某個 IP 位址的地理位置判斷有誤,或想確認資料庫版本,可以透過防火牆的命令列介面 (CLI) 進行查詢。
提示:若不熟悉 CLI 操作,請參考:掌握 CLI 操作:如何使用 Console 電纜和 SSH
- show geo-ip database version
- show geo-ip geography address [要查詢的IP位址](例如:
show geo-ip geography address 8.8.8.8)
