Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuration de la gamme SRX Series et de l’adresse IP de géolocalisation pour l’intégration avec l’appliance ATP

La géolocalisation basée sur IP (GeoIP) est un mappage d’une adresse IP à l’emplacement géographique d’un Internet connecté à un appareil informatique. ATP Appliance prend en charge GeoIP, ce qui vous permet de filtrer le trafic à destination et en provenance de zones géographiques spécifiques dans le monde.

GeoIP utilise une infrastructure de saisie d’adresses dynamiques (DAE). Un boîtier DAE est un groupe d’adresses IP, pas seulement un préfixe IP unique. Ces adresses IP sont destinées à des domaines spécifiques ou à des entités qui ont un attribut commun, tel qu’un emplacement indésirable particulier qui constitue une menace. L’administrateur peut ensuite configurer des stratégies de sécurité pour utiliser le boîtier DAE dans une stratégie de sécurité. Lorsque le boîtier DAE est mis à jour, les modifications font automatiquement partie de la stratégie de sécurité. Il n’est pas nécessaire de mettre à jour la stratégie manuellement.

Note:

L’URL du flux est configurée automatiquement lorsque vous exécutez le script pour inscrire le pare-feu SRX Series. Actuellement, la configuration de GeoIP et des stratégies de sécurité s’effectue entièrement sur le pare-feu SRX Series à l’aide de commandes CLI.

Pour créer le boîtier DAE GeoIP et la stratégie de pare-feu de sécurité :

  1. Créez le boîtier DAE à l’aide de la set security dynamic-address commande CLI. Définissez la catégorie sur GeoIP et la propriété sur country (toutes en minuscules). Lorsque vous spécifiez les pays, utilisez le code de pays ISO 3166 à deux lettres en lettres ASCII majuscules ; par exemple, US ou DE. Pour une liste complète des codes de pays, voir l’ISO 3166-1 alpha-2.

    Dans l’exemple suivant, le nom DAE est my-geoip1 et les pays intéressés sont les États-Unis (US) et la Grande-Bretagne (GB).

  2. Utilisez la commande CLI show security dynamic-address pour vérifier vos paramètres. Votre sortie doit ressembler à ce qui suit :
  3. Créez la stratégie de pare-feu de sécurité à l’aide de la commande CLI set security policies .

    Dans l’exemple suivant, la stratégie va de la zone d’approbation à la zone d’approbation, le nom de la stratégie est , l’adresse source est my-geoip-policymy-geoip1 créée à l’étape 1 et l’action consiste à refuser l’accès à partir des pays répertoriés dans my-geoip1.

  4. Utilisez la commande CLI show security policies pour vérifier vos paramètres. Votre sortie doit ressembler à ce qui suit :

Suppression d’adresses dynamiques GeoIP pour un seul indicatif de pays

Vous pouvez supprimer des adresses dynamiques GeoIP pour un code de pays unique en procédant comme suit :

Dans l’exemple suivant, le nom du boîtier DAE et my-geoip1 les codes de pays à supprimer sont : États-Unis et Grande-Bretagne (GB).

L’étape ci-dessus supprime le pays avec succès du profil sans affecter les entrées des autres pays.

Après avoir supprimé le code pays, vous pouvez confirmer la suppression à l’aide de la show security dynamic-address commande.

user@host> show security dynamic-address
Note:

Vous pouvez afficher la sortie de la commande en tant qu’éléments de balise XML Junos en incluant l’option | display xml après la show security dynamic-address summary commande.

À partir de Junos OS version 23.4R1, nous avons introduit une nouvelle entité da-summary-dynamic-address-information qui apparaît plusieurs fois au cas où des adresses IP en double seraient présentes dans la configuration. Vous pouvez utiliser cette sortie de commande pour supprimer les entrées en double.

Documentation connexe