Nebula 防火牆 GEO IP 使用教學

選項
Zyxel小編 Corey
Zyxel小編 Corey 文章數: 146  Zyxel Employee
First Anniversary Friend Collector First Comment

什麼是 GEO IP

Geo-IP 為國家地理位置位址物件,可讓您封鎖來自特定國家/地區的網路流量,這將允許您封鎖通常比較可疑/眾所周知是惡意攻擊來源的國家。在網際網路開放的世界中,這一點變得特別重要,而另一方面,也可能存在著多種出於經濟和政治動機的衝突。

透過 GEO IP 能做到什麼?

Nebula Control Center 支援 Geo IP,讓您可以阻止來自通常非常可疑/眾所周知是惡意攻擊來源的特定地區或國家的網路流量。相反,您也可以只允許來自您所在國家/地區的網路流量。

若網管人員希望將不同國家流量區分為不同 WAN 介面,透過 GEO IP 也可以決定特定國家傳輸流量要從哪個 WAN 介面送出。

設定教學

以下介紹幾種 GEO IP 應用情境 :

  1. 防火牆規則
  2. 策略路由
  3. NAT

應用情境1 - 防火牆規則

防火牆規則搭配 GEO IP ,即可達成封鎖特地國家的傳輸流量。

前往 整個站點 > 設定 > 防火牆 > 安全性政策,建立新規則 :

  • 輸入規則名稱,僅用於自行辨識
  • 動作選擇拒絕,封鎖特定流量
  • 選擇任何作為來源,表示任何內部流量皆符合規則。
  • 選擇可疑國家作為目的地,一般為網路傳輸較不會前往的國家,範例為 : 南非(South Africa)
  • 若希望阻擋來自可疑國家的流量,也可以再新增一條規則,將來源與目的地調換。

應用情境2 - 策略路由

策略路由搭配 GEO IP ,即可將特定國家流量指定特定 WAN 介面送出。

前往 整個站點 > 設定 > 防火牆 > 路由 ,新增規則 :

  • 來源選擇 Any,或指定的內部網段(可多選)
  • 目的地選擇國家位置(可多選)
  • 啟用策略路由,選擇 Internet 流量
  • 下一躍點選擇符合規則的流量要往哪個 wan 介面送出

應用情境3 - NAT

NAT 功能可以讓外部使用者連接到內部伺服器,但這可能造成資安疑慮,因此 Nebula 提供了限制來源的功能,管理員可以指定特定外部 IP ,或是國家才能透過 NAT 連接內部伺服器。

對於 NAT 完整功能介紹有興趣,請參考此篇教學文章

若您的伺服器預計只開放給台灣範圍的使用者連接,則建議只允許台灣的遠端 IP。設定範例如下 :

前往 整個站點 > 設定 > 防火牆 > NAT,新增 NAT 規則,在規則最後可調整 "允許的遠端 IP" 。