Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configure o Juniper ATP Cloud com IP de geolocalização

Para configurar o Juniper ATP Cloud com o GeoIP, crie o GEOIP DAE e especifique os países interessados. Em seguida, crie uma política de firewall de segurança no firewall da Série SRX para fazer referência ao DAE e definir se permite ou bloqueia o acesso.

Para criar o GeoIP DAE e a política de firewall de segurança:

  1. Crie o DAE usando o set security dynamic-address comando CLI. Definir a GeoIP categoria e a propriedade para country (todos minúsculas). Ao especificar os países, use o código de país ISO 3166 de duas letras em letras ASCII maiúsculas; por exemplo, EUA ou DE. Para obter uma lista completa de códigos de país, veja ISO 3166-1 alfa-2. A Tabela 1 lista os códigos adicionais que não fazem parte do ISO 3166-1 alfa-2.
    Tabela 1: Códigos adicionais

    Código

    País

    Informações adicionais

    A1

    Proxy anônimo

    Este código de país identifica um conjunto de endereços IP usados por proxys anônimos específicos ou serviços VPN. Esses tipos de serviços podem ser usados para ignorar as restrições do GeoIP.

    Nota:

    Este código country não fornece cobertura completa de todo o tráfego proxy. Ele identifica o tráfego para promotores anônimos legais específicos.

    A2

    Provedor de satélites

    Este código de país identifica um conjunto de endereços IP usados pelos ISPs de satélite para fornecer serviços de Internet a vários países. Exemplos: Nigéria e Nigeria.

    AP

    Região da Ásia/Pacífico

    Este código de país identifica um conjunto de endereços IP que estão espalhados pela região da Ásia/Pacífico. O país de origem desse conjunto de endereços IP é desconhecido.

    Nota:

    Este código de país consiste em um pequeno subconjunto de endereços IP na região da Ásia/Pacífico.

    UE

    Europa

    Este código de país identifica um conjunto de endereços IP que estão espalhados pela Europa. O país de origem desse conjunto de endereços IP é desconhecido.

    Nota:

    Este código de país não cobre todos os endereços IP na Europa.

    VA

    Estado da Cidade do Vaticano

    		  

    COMO

    Ásia

    		  

    OC

    Oceânia

    		  

    No exemplo a seguir, o nome DAE é my-geoip e os países interessados são Os Estados Unidos (EUA) e a Grã-Bretanha (GB).

  2. Use o show security dynamic-address Comando CLI para verificar suas configurações. Sua saída deve ser semelhante à seguinte:
  3. Crie a política de firewall de segurança usando o set security policies Comando CLI.

    No exemplo a seguir, a política é da zona não confiável à confiança, o nome da política émy-geoip-policy, o endereço fonte é my-geoip criado na Etapa 1, e a ação é negar o acesso dos países listados.my-geoip

  4. Use o show security policies Comando CLI para verificar suas configurações. Sua saída deve ser semelhante à seguinte:
  5. Importar os feeds da categoria para o endereço dinâmico usando o set dynamic address Comando CLI.
    No exemplo a seguir, o endereço de origem é my-geoip criado na Etapa 1 e a ação é importar feeds sob a categoria GeoIP para o endereço dinâmico.
  6. Use o show security dynamic-address Comando CLI para verificar suas configurações. Sua saída deve ser semelhante à seguinte:

    Exclusão de endereços dinâmicos baseados em GeoIP para um único código de país

    Você pode excluir endereços dinâmicos baseados em GeoIP para um único código de país usando a seguinte etapa:

    No exemplo a seguir, o nome DAE é my-geoip e os códigos de país que você deseja excluir são: Estados Unidos (EUA) e Grã-Bretanha (GB).

    A etapa acima exclui o país com sucesso do perfil sem afetar as entradas de outros países.

    Depois de excluir o código do país, você pode confirmar a exclusão usando o show security dynamic-address comando.

    show security dynamic-address

O Juniper ATP Cloud com GeoIP oferece verificações de consistência aprimoradas e registro de firewalls da Série SRX que estão inscritos no Juniper ATP Cloud.

A mensagem de negação da sessão inclui os seguintes campos:

  • source-country— exibe o código-país do endereço de origem com referência à correspondência de endereço dinâmico da política.
  • destination-country— exibe o código country do endereço de destino com referência à correspondência de endereço dinâmico da política.

A mensagem de log do sistema exibe o código de país válido apenas se a política combinada incluir um endereço dinâmico configurado com GeoIP. Se a política combinada não tiver o GeoIP configurado, então a e os source-country campos exibirão destination-country N/A. Consulte o System Log Explorer para obter mais detalhes.

Documentação relacionada