Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Configuration de la SRX Series et de l’adresse IP de géolocalisation pour l’intégration avec l’appliance ATP

La géolocalisation basée sur IP (GeoIP) est une mise en correspondance d’une adresse IP avec l’emplacement géographique d’un Internet connecté à un appareil informatique. L’appliance ATP prend en charge GeoIP, ce qui vous permet de filtrer le trafic à destination et en provenance de zones géographiques spécifiques dans le monde.

GeoIP utilise une infrastructure de saisie d’adresses dynamiques (DAE). Une DAE est un groupe d’adresses IP, et non un seul préfixe IP. Ces adresses IP sont destinées à des domaines spécifiques ou à des entités qui ont un attribut commun, tel qu’un emplacement indésirable particulier qui constitue une menace. L’administrateur peut ensuite configurer des stratégies de sécurité pour qu’elles utilisent le DAE dans une stratégie de sécurité. Lorsque le DAE est mis à jour, les modifications sont automatiquement intégrées à la stratégie de sécurité. Il n’est pas nécessaire de mettre à jour la stratégie manuellement.

Note:

L’URL du flux est configurée automatiquement pour vous lorsque vous exécutez le script d’enrôlement du pare-feu SRX Series. Actuellement, la configuration de GeoIP et des stratégies de sécurité s’effectue entièrement sur le pare-feu SRX Series à l’aide de commandes CLI.

Pour créer la stratégie GeoIP DAE et de pare-feu de sécurité :

  1. Créez le DAE à l’aide de la set security dynamic-address commande CLI. Définissez la catégorie sur et la propriété sur GeoIP country (tout en minuscules). Lorsque vous spécifiez les pays, utilisez le code de pays ISO 3166 à deux lettres en lettres ASCII majuscules ; par exemple, US ou DE. Pour une liste complète des codes de pays, voir l’ISO 3166-1 alpha-2.

    Dans l’exemple suivant, le nom DAE est my-geoip1 et les pays intéressés sont les États-Unis (US) et la Grande-Bretagne (GB).

  2. Utilisez la show security dynamic-address commande CLI pour vérifier vos paramètres. Votre sortie doit ressembler à ce qui suit :
  3. Créez la stratégie de pare-feu de sécurité à l’aide de la set security policies commande CLI.

    Dans l’exemple suivant, la stratégie provient de la zone de confiance de confiance à laquelle le nom my-geoip-policyest , l’adresse source est my-geoip1 créée à l’étape 1 et l’action consiste à refuser l’accès à partir des pays répertoriés dans my-geoip1.

  4. Utilisez la show security policies commande CLI pour vérifier vos paramètres. Votre sortie doit ressembler à ce qui suit :

Suppression d’adresses dynamiques basées sur GeoIP pour un seul indicatif de pays

Vous pouvez supprimer les adresses dynamiques basées sur GeoIP pour un seul indicatif de pays en procédant comme suit :

Dans l’exemple suivant, le nom DAE est my-geoip1 et les codes de pays que vous souhaitez supprimer sont les suivants : États-Unis (US) et Grande-Bretagne (GB).

L’étape ci-dessus supprime le pays du profil sans affecter les autres entrées de pays.

Une fois que vous avez supprimé le code pays, vous pouvez confirmer la suppression à l’aide de la commande show security dynamic-address .

user@host> show security dynamic-address
Note:

Vous pouvez afficher la sortie de la show security dynamic-address summary commande sous forme d’éléments de balise XML Junos en incluant l’option | display xml après la commande.

À partir de la version 23.4R1 de Junos OS, nous avons introduit une nouvelle entité da-summary-dynamic-address-information qui apparaît plusieurs fois au cas où des adresses IP dupliquées seraient présentes dans la configuration. Vous pouvez utiliser cette sortie de commande pour supprimer les entrées en double.

Messages du journal système

Vous pouvez utiliser le message de refus de session pour vérifier les champs suivants :

  • source-country: code pays de l’adresse source en référence à la correspondance d’adresse dynamique de stratégie.
  • destination-country: code pays de l’adresse de destination en référence à la correspondance d’adresse dynamique de stratégie.

Le message du journal système affiche le code de pays valide uniquement si la stratégie correspondante inclut une adresse dynamique configurée avec GeoIP. Si GeoIP n’est pas configuré pour la stratégie correspondante, les champs et destination-country s’affichent source-country N/A.

Pour obtenir la liste complète des messages du journal système, reportez-vous à la section Explorateur du journal système.

Documentation connexe