Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Konfiguration der SRX-Serie und geolocation IP für die Integration in JATP

IP-basierte Geolocation (GeoIP) ist eine Zuordnung einer IP-Adresse zum geografischen Standort eines Internets, das mit einem Computergerät verbunden ist. JATP unterstützt GeoIP und bietet Ihnen die Möglichkeit, Datenverkehr zu und von bestimmten Regionen der Welt zu filtern.

GeoIP nutzt eine Dynamic Address Entry (DAE)-Infrastruktur. Ein DAE ist eine Gruppe von IP-Adressen, nicht nur ein einzelnes IP-Präfix. Diese IP-Adressen sind für bestimmte Domänen oder für Entitäten geeignet, die ein gemeinsames Attribut haben, z. B. einen bestimmten unerwünschten Standort, der eine Bedrohung darstellt. Der Administrator kann dann Sicherheitsrichtlinien so konfigurieren, dass die DAE innerhalb einer Sicherheitsrichtlinie verwendet wird. Wenn die DAE aktualisiert wird, werden die Änderungen automatisch Teil der Sicherheitsrichtlinie. Eine manuelle Aktualisierung der Richtlinie ist nicht erforderlich.

Hinweis:

Die Feed-URL wird automatisch für Sie eingerichtet, wenn Sie das Skript ausführen, um das Gerät der SRX-Serie zu registrieren. Derzeit erfolgt die Konfiguration von GeoIP- und Sicherheitsrichtlinien vollständig auf dem Gerät der SRX-Serie mithilfe von CLI-Befehlen.

So erstellen Sie die GeoIP DAE- und Sicherheits-Firewall-Richtlinie:

  1. Erstellen Sie die DAE mithilfe der set security dynamic-address CLI-Befehl. Legen Sie die Kategorie auf GeoIP und die Eigenschaft auf country (alle Kleinschreibung). Verwenden Sie bei der Angabe der Länder den zwei Buchstaben großen ISO 3166-Ländercode in großgeschriebenen ASCII-Buchstaben; zum Beispiel US oder DE. Eine vollständige Liste der Ländercodes finden Sie unter ISO 3166-1 alpha-2.

    Im folgenden Beispiel lautet my-geoip der DAE-Name und die interessierten Länder sind die Vereinigten Staaten (USA) und Großbritannien (GB).

  2. Verwenden Sie die show security dynamic-address CLI-Befehl zur Überprüfung der Einstellungen. Ihre Ausgabe sollte wie folgt aussehen:
  3. Erstellen Sie die Sicherheits-Firewall-Richtlinie mithilfe der set security policies CLI-Befehl.

    Im folgenden Beispiel handelt es sich bei der Richtlinie um eine Nicht-Vertrauenswürdigkeitszone, der Richtlinienname ist my-geoip-policy, die Quelladresse wird my-geoip in Schritt 1 erstellt, und die Aktion besteht darin, den Zugriff aus den in my-geoipaufgeführten Ländern zu verweigern.

  4. Verwenden Sie die show security policies CLI-Befehl zur Überprüfung der Einstellungen. Ihre Ausgabe sollte wie folgt aussehen: