Nebula 防火牆 GEO IP 使用教學

Zyxel小編 Corey

什麼是 GEO IP

Geo-IP 為國家地理位置位址物件，可讓您封鎖來自特定國家/地區的網路流量，這將允許您封鎖通常比較可疑/眾所周知是惡意攻擊來源的國家。在網際網路開放的世界中，這一點變得特別重要，而另一方面，也可能存在著多種出於經濟和政治動機的衝突。

透過 GEO IP 能做到什麼?

Nebula Control Center 支援 Geo IP，讓您可以阻止來自通常非常可疑/眾所周知是惡意攻擊來源的特定地區或國家的網路流量。相反，您也可以只允許來自您所在國家/地區的網路流量。

若網管人員希望將不同國家流量區分為不同 WAN 介面，透過 GEO IP 也可以決定特定國家傳輸流量要從哪個 WAN 介面送出。

設定教學

以下介紹幾種 GEO IP 應用情境 :

1. 防火牆規則
2. 策略路由
3. NAT

應用情境1 - 防火牆規則

防火牆規則搭配 GEO IP ，即可達成封鎖特地國家的傳輸流量。

前往 整個站點 > 設定 > 防火牆 > 安全性政策，建立新規則 :

• 輸入規則名稱，僅用於自行辨識
  
• 動作選擇拒絕，封鎖特定流量
• 選擇任何作為來源，表示任何內部流量皆符合規則。
  
• 選擇可疑國家作為目的地，一般為網路傳輸較不會前往的國家，範例為 : 南非(South Africa)
• 若希望阻擋來自可疑國家的流量，也可以再新增一條規則，將來源與目的地調換。
  

應用情境2 - 策略路由

策略路由搭配 GEO IP ，即可將特定國家流量指定特定 WAN 介面送出。

前往 整個站點 > 設定 > 防火牆 > 路由 ，新增規則 :

• 來源選擇 Any，或指定的內部網段(可多選)
• 目的地選擇國家位置(可多選)
• 啟用策略路由，選擇 Internet 流量
• 下一躍點選擇符合規則的流量要往哪個 wan 介面送出

應用情境3 - NAT

NAT 功能可以讓外部使用者連接到內部伺服器，但這可能造成資安疑慮，因此 Nebula 提供了限制來源的功能，管理員可以指定特定外部 IP ，或是國家才能透過 NAT 連接內部伺服器。

對於 NAT 完整功能介紹有興趣，請參考此篇教學文章。

若您的伺服器預計只開放給台灣範圍的使用者連接，則建議只允許台灣的遠端 IP。設定範例如下 :

前往 整個站點 > 設定 > 防火牆 > NAT，新增 NAT 規則，在規則最後可調整 "允許的遠端 IP" 。

備註

若您發現 IP 疑似被誤擋，可以登入防火牆 CLI ，透過指令確認 GEO IP 資料庫版本是否正常。

若您尚未熟悉防火牆 CLI 操作，請參考此教學文章 : 掌握 CLI 操作：如何使用 Console 電纜和 SSH

• 指令請輸入 : show geo-ip database version

若要尋找 IP 位址的國家/地區，可以輸入 : show geo-ip geography address xx.xx.xx.xx