使用地理定位 IP 配置瞻博网络 ATP 云
要使用 GeoIP 配置瞻博网络 ATP 云,请创建 GeoIP DAE 并指定感兴趣的国家/地区。然后,在 SRX 系列防火墙上创建安全防火墙策略以引用 DAE 并定义是允许还是阻止访问。
要创建 GeoIP DAE 和安全防火墙策略,请执行以下作:
- 使用
set security dynamic-addressCLI 命令创建 DAE。将“类别GeoIP”设置为“和”属性country“(全部小写)。指定国家/地区时,请使用大写 ASCII 字母的双字母 ISO 3166 国家/地区代码;例如,US 或 DE。有关国家/地区代码的完整列表,请参阅 ISO 3166-1 alpha-2。 表 1 列出了不属于 ISO 3166-1 alpha-2 的附加代码。表 1:附加代码 法典
国家
其他信息
答1
匿名代理
此国家/地区代码标识特定匿名代理或 VPN 服务使用的一组 IP 地址。这些类型的服务可用于绕过 GeoIP 限制。
注意:此国家/地区代码并未完全覆盖所有代理流量。它标识特定合法匿名代理的流量。
答2
卫星提供商
此国家/地区代码标识卫星 ISP 用于向多个国家/地区提供互联网服务的一组 IP 地址。例如:尼日利亚和加纳。
美联社
亚太地区
此国家/地区代码标识分布在亚太地区的一组 IP 地址。这组 IP 地址的原产国未知。
注意:此国家/地区代码由亚太地区的一小部分 IP 地址组成。
欧盟
欧洲
此国家/地区代码标识分布在欧洲的一组 IP 地址。这组 IP 地址的原产国未知。
注意:此国家/地区代码并未涵盖欧洲的所有 IP 地址。
退伍军人事务部
梵蒂冈城国
如
亚洲
超频
大洋洲
在以下示例中,DAE 名称为
my-geoip,感兴趣的国家/地区为美国 (US) 和英国 (GB)。set security dynamic-address address-name my-geoip profile category GeoIP property country string US set security dynamic-address address-name my-geoip profile category GeoIP property country string GB
show security dynamic-address使用CLI 命令验证您的设置。输出应类似于以下内容:Your output should look similar to the following:show security dynamic-address address-name my-geoip { profile { category GeoIP { property country { string US; string GB; } } } }- 使用
set security policies创建安全防火墙策略CLI 命令。在以下示例中,策略从不信任区域到信任区域,策略名称为
my-geoip-policy,源地址在my-geoip步骤 1 中创建,作是拒绝来自中my-geoip列出的国家/地区的访问。set security policies from-zone untrust to-zone trust policy my-geoip-policy match source-address my-geoip destination-address any application any set security policies from-zone untrust to-zone trust policy my-geoip-policy then deny
show security policies使用CLI 命令验证您的设置。输出应类似于以下内容:Your output should look similar to the following:show security policies ... from-zone untrust to-zone trust { policy my-geoip-policy { match { source-address my-geoip; destination-address any; application any; } then { deny; } } } ...- 使用
set dynamic addressCLI 命令。在以下示例中,源地址是在my-geoip步骤 1 中创建的,作是将 GeoIP 类别下的源导入到动态地址。set security dynamic-address address-name my-geoip profile category GeoIP feed fd property country string US
show security dynamic-address使用CLI 命令验证您的设置。输出应类似于以下内容:Your output should look similar to the following:show security dynamic-address ... address-name my-geoip { profile { category GeoIP { property country { string US; } } } } address-name my-geoip { profile { category GeoIP { feed fd; property country { string US; } } } }删除单个国家/地区代码的基于 GeoIP 的动态地址
您可以使用以下步骤删除单个国家/地区代码的基于 GeoIP 的动态地址:
delete security dynamic-address address-name address-name profile category GeoIP property country string CA
在以下示例中,DAE 名称为
my-geoip,要删除的国家/地区代码为:美国 (US) 和英国 (GB)。delete security dynamic-address address-name my-geoip profile category GeoIP property country string US delete security dynamic-address address-name my-geoip profile category GeoIP property country string GB
上述步骤可成功从个人资料中删除国家/地区,而不会影响其他国家/地区的条目。
删除国家/地区代码后,您可以使用命令确认删除
show security dynamic-address。show security dynamic-addressnode0: -------------------------------------------------------------------------- Instance default Total number of matching entries: 0 No. IP-start IP-end Feed Address CountryCode 1 1.0.0.0 1.0.0.255 geoip_country my-geoip1 AU 2 1.0.0.0 1.0.0.255 geoip_country my-geoip2 CN
带有 GeoIP 的瞻博网络 ATP 云改进了在瞻博网络 ATP 云中注册的 SRX 系列防火墙的一致性检查和日志记录。
会话拒绝消息包含以下字段:
source-country- 参照策略动态地址匹配,显示源地址的国家/地区代码。destination-country- 参照策略动态地址匹配,显示目标地址的国家/地区代码。
仅当匹配的策略包含使用 GeoIP 配置的动态地址时,系统日志消息才会显示有效的国家/地区代码。如果匹配的策略未配置 GeoIP,则source-country将显示N/A和 destination-country 字段。有关详细信息,请参阅系统日志资源管理器。