配置 SRX 系列和地理位置 IP 以便与 ATP 设备集成
基于 IP 的地理位置 (GeoIP) 是将 IP 地址映射到连接到计算设备的互联网的地理位置。ATP 设备支持 GeoIP,使您能够过滤往返于世界特定地理位置的流量。
GeoIP 使用动态地址输入 (DAE) 基础架构。DAE 是一组 IP 地址,而不仅仅是单个 IP 前缀。这些 IP 地址用于特定域或具有通用属性的实体,例如构成威胁的特定不需要的位置。然后,管理员可以配置安全策略以在安全策略中使用 DAE。更新 DAE 时,更改将自动成为安全策略的一部分。无需手动更新策略。
注意:
当您运行脚本注册 SRX 系列防火墙时,系统会自动为您设置源 URL。目前,GeoIP 和安全策略的配置完全是使用 CLI 命令在 SRX 系列防火墙上完成的。
要创建 GeoIP DAE 和安全防火墙策略,请执行以下作:
- 使用
set security dynamic-addressCLI 命令创建 DAE。将“类别GeoIP”设置为“和”属性country“(全部小写)。指定国家/地区时,请使用大写 ASCII 字母的双字母 ISO 3166 国家/地区代码;例如,US 或 DE。有关国家/地区代码的完整列表,请参阅 ISO 3166-1 alpha-2。在以下示例中,DAE 名称为
my-geoip1,感兴趣的国家/地区为美国 (US) 和英国 (GB)。user@host# set security dynamic-address address-name my-geoip1 profile category GeoIP property country string US user@host# set security dynamic-address address-name my-geoip1 profile category GeoIP property country string GB user@host# set security dynamic-address address-name my-geoip1 profile category GeoIP property country string AU
show security dynamic-address使用 CLI 命令验证您的设置。输出应类似于以下内容:Your output should look similar to the following:user@host# show security dynamic-address address-name my-geoip1 { profile { category GeoIP { property country { string US; string GB; string AU; } } } } [edit]- 使用
set security policiesCLI 命令创建安全防火墙策略。在以下示例中,策略从不信任区域到信任区域,策略名称为
my-geoip-policy,源地址在my-geoip1步骤 1 中创建,作是拒绝来自中my-geoip1列出的国家/地区的访问。user@host# set security policies from-zone untrust to-zone trust policy my-geoip-policy match source-address my-geoip destination-address any application any user@host# set security policies from-zone untrust to-zone trust policy my-geoip-policy then deny
show security policies使用 CLI 命令验证您的设置。输出应类似于以下内容:Your output should look similar to the following:user@host# show security policies ... from-zone untrust to-zone trust { policy my-geoip-policy { match { source-address my-geoip; destination-address any; application any; } then { deny; } } } ...
删除单个国家/地区代码的基于 GeoIP 的动态地址
您可以使用以下步骤删除单个国家/地区代码的基于 GeoIP 的动态地址:
user@host# delete security dynamic-address address-name address-name profile category GeoIP property country string CA
在以下示例中,DAE 名称为 my-geoip1 ,要删除的国家/地区代码为:美国 (US) 和英国 (GB)。
user@host# delete security dynamic-address address-name my-geoip1 profile category GeoIP property country string US user@host# delete security dynamic-address address-name my-geoip1 profile category GeoIP property country string GB
上述步骤可成功从个人资料中删除国家/地区,而不会影响其他国家/地区的条目。
删除国家/地区代码后,可以使用 show security dynamic-address 命令确认删除。
user@host> show security dynamic-address
node0: -------------------------------------------------------------------------- Instance default Total number of matching entries: 0 No. IP-start IP-end Feed Address CountryCode 1 1.0.0.0 1.0.0.255 geoip_country my-geoip1 AU 2 1.0.0.0 1.0.0.255 geoip_country my-geoip2 CN
注意:
您可以通过在命令后包含| display xml选项将show security dynamic-address summary命令输出显示为 Junos XML 标记元素。
da-summary-dynamic-address-information 将多次出现。您可以使用此命令输出删除重复条目。
user@host> show security dynamic-address summary | display xml
<rpc-reply xmlns:junos="http://">
<security-dynamic-address>
<security-dynamic-address-summary>
<da-summary-sscan>
<da-sscan-status>Disable</da-sscan-status>
<da-sscan-hold-interval>10 seconds</da-sscan-hold-interval>
</da-summary-sscan>
<da-summary-server>
</da-summary-server>
<da-summary-dynamic-address>
<da-summary-dynamic-address-information>
</da-summary-dynamic-address-information>
<da-summary-dynamic-address-information>
</da-summary-dynamic-address-information>
</da-summary-dynamic-address>
<da-summary-dynamic-address-total>
<da-instance-name>default</da-instance-name>
<da-cnt-total-v4>0</da-cnt-total-v4>
<da-cnt-total-feed-v4>0</da-cnt-total-feed-v4>
<da-cnt-total-v6>0</da-cnt-total-v6>
<da-cnt-total-feed-v6>0</da-cnt-total-feed-v6>
</da-summary-dynamic-address-total>
<da-summary-dynamic-address>
<da-summary-dynamic-address-information>
<da-name>geoip1</da-name>
<da-id>11</da-id>
<da-entry-cnt-v4>39</da-entry-cnt-v4>
<da-entry-cnt-v6>56</da-entry-cnt-v6>
<da-sscan-entry-status>Disable</da-sscan-entry-status>
<da-mapping-feed>
</da-mapping-feed>
<da-rule>
<da-category-name>GeoIP</da-category-name>
<da-category-feed>---</da-category-feed>
</da-rule>
<da-property>
<da-property-name>country</da-property-name>
<da-property-value>KP</da-property-value>
</da-property>
</da-summary-dynamic-address-information>
<da-summary-dynamic-address-information>
<da-name>geoip2</da-name>
<da-id>12</da-id>
<da-entry-cnt-v4>88</da-entry-cnt-v4>
<da-entry-cnt-v6>38</da-entry-cnt-v6>
<da-sscan-entry-status>Disable</da-sscan-entry-status>
<da-mapping-feed>
</da-mapping-feed>
<da-rule>
<da-category-name>GeoIP</da-category-name>
<da-category-feed>---</da-category-feed>
</da-rule>
<da-property>
<da-property-name>country</da-property-name>
<da-property-value>VC</da-property-value>
</da-property>
</da-summary-dynamic-address-information>
</da-summary-dynamic-address>
<da-summary-dynamic-address-total>
<da-instance-name>geoip</da-instance-name>
<da-cnt-total-v4>127</da-cnt-total-v4>
<da-cnt-total-v6>94</da-cnt-total-v6>
</da-summary-dynamic-address-total>
</security-dynamic-address-summary>
<security-dynamic-address-summary>
<da-summary-dynamic-address-total>
<da-instance-name>advanced-anti-malware</da-instance-name>
<da-cnt-total-v4>0</da-cnt-total-v4>
<da-cnt-total-v6>0</da-cnt-total-v6>
</da-summary-dynamic-address-total>
</security-dynamic-address-summary>
</security-dynamic-address>
系统日志消息
您可以使用会话拒绝消息检查以下字段:
source-country—参考策略动态地址匹配的源地址的国家/地区代码。destination-country—参考策略动态地址匹配的目标地址的国家/地区代码。
仅当匹配的策略包含使用 GeoIP 配置的动态地址时,系统日志消息才会显示有效的国家/地区代码。如果匹配的策略未配置 GeoIP,则source-country将显示N/A和 destination-country 字段。
有关系统日志消息的完整列表,请参阅 系统日志资源管理器。