Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Konfigurieren der SRX-Serie und der Geolocation-IP für die Integration mit ATP Appliance

IP-basierte Geolokalisierung (GeoIP) ist eine Zuordnung einer IP-Adresse zum geografischen Standort eines Internets, das mit einem Computergerät verbunden ist. ATP Appliance unterstützt GeoIP und gibt Ihnen damit die Möglichkeit, Datenverkehr von und zu bestimmten Regionen der Welt zu filtern.

GeoIP verwendet eine DAE-Infrastruktur (Dynamic Address Entry). Ein DAE ist eine Gruppe von IP-Adressen, nicht nur ein einzelnes IP-Präfix. Diese IP-Adressen beziehen sich auf bestimmte Domänen oder auf Entitäten, die ein gemeinsames Attribut aufweisen, z. B. einen bestimmten unerwünschten Standort, der eine Bedrohung darstellt. Der Administrator kann dann Sicherheitsrichtlinien konfigurieren, um die DAE innerhalb einer Sicherheitsrichtlinie zu verwenden. Wenn die DAE aktualisiert wird, werden die Änderungen automatisch Teil der Sicherheitsrichtlinie. Es ist nicht erforderlich, die Richtlinie manuell zu aktualisieren.

Anmerkung:

Die Feed-URL wird automatisch für Sie eingerichtet, wenn Sie das Skript zur Registrierung der Firewall der SRX-Serie ausführen. Derzeit erfolgt die Konfiguration von GeoIP und Sicherheitsrichtlinien vollständig auf der Firewall der SRX-Serie mithilfe von CLI-Befehlen.

So erstellen Sie die GeoIP-DAE und die Sicherheits-Firewall-Richtlinie:

  1. Erstellen Sie die DAE mit dem set security dynamic-address CLI-Befehl. Legen Sie die Kategorie auf GeoIP und die Eigenschaft auf country (alles in Kleinbuchstaben) fest. Verwenden Sie bei der Angabe der Länder den zweistelligen ISO 3166-Ländercode in ASCII-Großbuchstaben. zum Beispiel US oder DE. Eine vollständige Liste der Ländercodes finden Sie unter ISO 3166-1 alpha-2.

    Im folgenden Beispiel lautet my-geoip1 der DAE-Name, und die interessierten Länder sind die Vereinigten Staaten (USA) und Großbritannien (GB).

  2. Verwenden Sie den show security dynamic-address CLI-Befehl, um Ihre Einstellungen zu überprüfen. Die Ausgabe sollte in etwa wie folgt aussehen:
  3. Erstellen Sie die Sicherheits-Firewall-Richtlinie mit dem set security policies CLI-Befehl.

    Im folgenden Beispiel befindet sich die Richtlinie aus der nicht vertrauenswürdigen in die Vertrauenszone, der Richtlinienname lautet my-geoip-policy, die Quelladresse wird my-geoip1 in Schritt 1 erstellt, und die Aktion besteht darin, den Zugriff aus den in aufgeführten Ländern my-geoip1zu verweigern.

  4. Verwenden Sie den show security policies CLI-Befehl, um Ihre Einstellungen zu überprüfen. Die Ausgabe sollte in etwa wie folgt aussehen:

Löschen von GeoIP-basierten dynamischen Adressen für eine einzelne Ländervorwahl

Mit dem folgenden Schritt können Sie GeoIP-basierte dynamische Adressen für eine einzelne Ländervorwahl löschen:

Im folgenden Beispiel lauten my-geoip1 der DAE-Name und die Ländercodes, die Sie löschen möchten, – USA (USA) und Großbritannien (GB).

Der obige Schritt löscht das Land erfolgreich aus dem Profil, ohne dass sich dies auf die anderen Ländereinträge auswirkt.

Nachdem Sie den Ländercode gelöscht haben, können Sie den Löschvorgang mit dem Befehl show security dynamic-address bestätigen.

user@host> show security dynamic-address
Anmerkung:

Sie können die show security dynamic-address summary Befehlsausgabe als Junos-XML-Tag-Elemente anzeigen, indem Sie die | display xml Option nach dem Befehl einfügen.

Ab Junos OS Version 23.4R1 haben wir eine neue Entität da-summary-dynamic-address-information eingeführt, die mehrmals angezeigt wird, falls doppelte IP-Adressen in der Konfiguration vorhanden sind. Sie können diese Befehlsausgabe verwenden, um doppelte Einträge zu entfernen.

Systemprotokoll-Meldungen

Sie können die Sitzungsverweigerungsmeldung verwenden, um die folgenden Felder zu überprüfen:

  • source-country– Ländercode der Quelladresse unter Verweis auf die dynamische Adressübereinstimmung der Richtlinie.
  • destination-country– Ländercode der Zieladresse mit Verweis auf die dynamische Adressübereinstimmung der Richtlinie.

In der Systemprotokollmeldung wird der gültige Ländercode nur angezeigt, wenn die übereinstimmende Richtlinie eine dynamische Adresse enthält, die mit GeoIP konfiguriert ist. Wenn für die übereinstimmende Richtlinie GeoIP nicht konfiguriert ist, werden die Felder und source-country destination-country angezeigt N/A.

Eine vollständige Liste der Systemprotokollmeldungen finden Sie unter Systemprotokoll-Explorer.

Zugehörige Dokumentation