Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Konfiguration der Juniper ATP-Cloud mit Geolocation-IP

Um Juniper ATP-Cloud mit GeoIP zu konfigurieren, erstellen Sie die GeoIP-DAE, und geben Sie die interessierten Länder an. Erstellen Sie dann eine Sicherheits-Firewall-Richtlinie auf der Firewall der SRX-Serie, um auf die DAE zu verweisen und zu definieren, ob der Zugriff zugelassen oder blockiert werden soll.

So erstellen Sie die GeoIP-DAE und die Sicherheits-Firewall-Richtlinie:

  1. Erstellen Sie die DAE mit dem set security dynamic-address CLI-Befehl. Legen Sie die Kategorie auf GeoIP und die Eigenschaft auf country (alles in Kleinbuchstaben) fest. Verwenden Sie bei der Angabe der Länder den zweistelligen ISO 3166-Ländercode in ASCII-Großbuchstaben. zum Beispiel US oder DE. Eine vollständige Liste der Ländercodes finden Sie unter ISO 3166-1 alpha-2. Tabelle 1 listet die zusätzlichen Codes auf, die nicht Teil von ISO 3166-1 alpha-2 sind.
    Tabelle 1: Zusätzliche Codes

    Code

    Land

    Zusatzinformation

    DIN A1

    Anonymer Proxy

    Dieser Ländercode identifiziert eine Reihe von IP-Adressen, die von bestimmten anonymen Proxys oder VPN-Diensten verwendet werden. Diese Arten von Services können verwendet werden, um GeoIP-Beschränkungen zu umgehen.

    Anmerkung:

    Dieser Ländercode deckt nicht den gesamten Proxy-Datenverkehr vollständig ab. Es identifiziert den Datenverkehr für bestimmte legale anonyme Proxys.

    DIN A2

    Satelliten-Provider

    Dieser Ländercode identifiziert eine Reihe von IP-Adressen, die von Satelliten-ISPs verwendet werden, um Internetdienste für mehrere Länder bereitzustellen. Beispiele: Nigeria und Ghana.

    AP

    Region Asien/Pazifik

    Dieser Ländercode identifiziert eine Reihe von IP-Adressen, die über die gesamte Region Asien/Pazifik verteilt sind. Das Herkunftsland für diesen Satz von IP-Adressen ist unbekannt.

    Anmerkung:

    Dieser Ländercode besteht aus einer kleinen Teilmenge von IP-Adressen in der Region Asien/Pazifik.

    EU

    Europa

    Dieser Ländercode identifiziert eine Reihe von IP-Adressen, die über ganz Europa verteilt sind. Das Herkunftsland für diesen Satz von IP-Adressen ist unbekannt.

    Anmerkung:

    Dieser Ländercode deckt nicht alle IP-Adressen in Europa ab.

    VA

    Staat Vatikanstadt

    		  

    WIE

    Asien

    		  

    OC

    Ozeanien

    		  

    Im folgenden Beispiel lautet my-geoip der DAE-Name, und die interessierten Länder sind die Vereinigten Staaten (USA) und Großbritannien (GB).

  2. Verwenden Sie die Funktion show security dynamic-address CLI-Befehl, um Ihre Einstellungen zu überprüfen. Die Ausgabe sollte in etwa wie folgt aussehen:
  3. Erstellen Sie die Sicherheits-Firewall-Richtlinie mit dem Befehl set security policies CLI-Befehl.

    Im folgenden Beispiel befindet sich die Richtlinie aus der nicht vertrauenswürdigen in die Vertrauenszone, der Richtlinienname lautet my-geoip-policy, die Quelladresse wird my-geoip in Schritt 1 erstellt, und die Aktion besteht darin, den Zugriff aus den in aufgeführten Ländern my-geoipzu verweigern.

  4. Verwenden Sie die Funktion show security policies CLI-Befehl, um Ihre Einstellungen zu überprüfen. Die Ausgabe sollte in etwa wie folgt aussehen:
  5. Importieren Sie die Kategorie-Feeds in die dynamische Adresse, indem Sie die Schaltfläche set dynamic address CLI-Befehl.
    Im folgenden Beispiel wird my-geoip die Quelladresse in Schritt 1 erstellt, und die Aktion besteht darin, Feeds unter der Kategorie GeoIP in die dynamische Adresse zu importieren.
  6. Verwenden Sie die Funktion show security dynamic-address CLI-Befehl, um Ihre Einstellungen zu überprüfen. Die Ausgabe sollte in etwa wie folgt aussehen:

    Löschen von GeoIP-basierten dynamischen Adressen für eine einzelne Ländervorwahl

    Mit dem folgenden Schritt können Sie GeoIP-basierte dynamische Adressen für eine einzelne Ländervorwahl löschen:

    Im folgenden Beispiel lauten my-geoip der DAE-Name und die Ländercodes, die Sie löschen möchten, – USA (USA) und Großbritannien (GB).

    Der obige Schritt löscht das Land erfolgreich aus dem Profil, ohne dass sich dies auf die anderen Ländereinträge auswirkt.

    Nachdem Sie den Ländercode gelöscht haben, können Sie den Löschvorgang mit dem show security dynamic-address Befehl bestätigen.

    show security dynamic-address

Juniper ATP Cloud mit GeoIP bietet verbesserte Konsistenzprüfungen und Protokollierung von Firewalls der SRX-Serie, die bei Juniper ATP Cloud registriert sind.

Die Meldung zur Sitzungsverweigerung enthält die folgenden Felder:

  • source-country: Zeigt den Ländercode der Quelladresse unter Verweis auf die dynamische Adressübereinstimmung der Richtlinie an.
  • destination-country: Zeigt den Ländercode der Zieladresse unter Verweis auf die dynamische Adressübereinstimmung der Richtlinie an.

In der Systemprotokollmeldung wird der gültige Ländercode nur angezeigt, wenn die übereinstimmende Richtlinie eine dynamische Adresse enthält, die mit GeoIP konfiguriert ist. Wenn für die übereinstimmende Richtlinie GeoIP nicht konfiguriert ist, werden die Felder und source-country destination-country angezeigt N/A. Weitere Informationen finden Sie im Systemprotokoll-Explorer .

Zugehörige Dokumentation