Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configurer Juniper ATP Cloud avec l’adresse IP de géolocalisation

Pour configurer Juniper ATP Cloud avec GeoIP, créez la DAE GeoIP et spécifiez les pays intéressés. Créez ensuite une stratégie de pare-feu de sécurité sur le pare-feu SRX Series pour référencer le DAE et définir s’il faut autoriser ou bloquer l’accès.

Pour créer la stratégie GeoIP DAE et de pare-feu de sécurité :

  1. Créez le DAE à l’aide de la set security dynamic-address commande CLI. Définissez la catégorie sur et la propriété sur GeoIP country (tout en minuscules). Lorsque vous spécifiez les pays, utilisez le code de pays ISO 3166 à deux lettres en lettres ASCII majuscules ; par exemple, US ou DE. Pour une liste complète des codes de pays, voir l’ISO 3166-1 alpha-2. Le Tableau 1 répertorie les codes supplémentaires qui ne font pas partie de l’ISO 3166-1 alpha-2.
    Tableau 1 : Codes supplémentaires

    Code

    Pays

    Informations complémentaires

    A1

    Proxy anonyme

    Cet indicatif de pays identifie un ensemble d’adresses IP utilisées par des proxys anonymes ou des services VPN spécifiques. Ces types de services peuvent être utilisés pour contourner les restrictions GeoIP.

    Note:

    Cet indicatif de pays ne couvre pas l’ensemble du trafic proxy. Il identifie le trafic pour des proxys anonymes légaux spécifiques.

    A2 (en anglais)

    Fournisseur de services par satellite

    Cet indicatif de pays identifie un ensemble d’adresses IP utilisées par les FAI par satellite pour fournir un service Internet à plusieurs pays. Exemples : Nigeria et Ghana.

    AP

    Région Asie/Pacifique

    Cet indicatif de pays identifie un ensemble d’adresses IP réparties dans la région Asie/Pacifique. Le pays d’origine de cet ensemble d’adresses IP est inconnu.

    Note:

    Cet indicatif de pays est constitué d’un petit sous-ensemble d’adresses IP dans la région Asie/Pacifique.

    UE

    Europe

    Cet indicatif de pays identifie un ensemble d’adresses IP réparties dans toute l’Europe. Le pays d’origine de cet ensemble d’adresses IP est inconnu.

    Note:

    Cet indicatif pays ne couvre pas toutes les adresses IP en Europe.

    VA

    État de la Cité du Vatican

    		  

    COMME

    Asie

    		  

    OC

    Océanie

    		  

    Dans l’exemple suivant, le nom DAE est my-geoip et les pays intéressés sont les États-Unis (US) et la Grande-Bretagne (GB).

  2. Utilisez l’option show security dynamic-address CLI pour vérifier vos paramètres. Votre sortie doit ressembler à ce qui suit :
  3. Créez la stratégie de pare-feu de sécurité à l’aide de la set security policies commande Commande CLI.

    Dans l’exemple suivant, la stratégie provient de la zone de confiance de confiance à laquelle le nom my-geoip-policyest , l’adresse source est my-geoip créée à l’étape 1 et l’action consiste à refuser l’accès à partir des pays répertoriés dans my-geoip.

  4. Utilisez l’option show security policies CLI pour vérifier vos paramètres. Votre sortie doit ressembler à ce qui suit :
  5. Importez les flux de catégorie dans l’adresse dynamique à l’aide de l’option set dynamic address Commande CLI.
    Dans l’exemple suivant, l’adresse source est my-geoip créée à l’étape 1 et l’action consiste à importer les flux de la catégorie GeoIP vers l’adresse dynamique.
  6. Utilisez l’option show security dynamic-address CLI pour vérifier vos paramètres. Votre sortie doit ressembler à ce qui suit :

    Suppression d’adresses dynamiques basées sur GeoIP pour un seul indicatif de pays

    Vous pouvez supprimer les adresses dynamiques basées sur GeoIP pour un seul indicatif de pays en procédant comme suit :

    Dans l’exemple suivant, le nom DAE est my-geoip et les codes de pays que vous souhaitez supprimer sont les suivants : États-Unis (US) et Grande-Bretagne (GB).

    L’étape ci-dessus supprime le pays du profil sans affecter les autres entrées de pays.

    Après avoir supprimé le code pays, vous pouvez confirmer la suppression à l’aide de la show security dynamic-address commande.

    show security dynamic-address

Juniper ATP Cloud avec GeoIP améliore les contrôles de cohérence et la journalisation des pare-feu SRX Series enrôlés auprès de Juniper ATP Cloud.

Le message de refus de session comprend les champs suivants :

  • source-country: affiche le code pays de l’adresse source en référence à la correspondance d’adresse dynamique de stratégie.
  • destination-country: affiche le code pays de l’adresse de destination en référence à la correspondance d’adresse dynamique de stratégie.

Le message du journal système affiche l’indicatif de pays valide uniquement si la stratégie correspondante inclut une adresse dynamique configurée avec GeoIP. Si GeoIP n’est pas configuré pour la stratégie correspondante, les champs et destination-country s’affichent source-country N/A. Pour plus d’informations, reportez-vous à la section Explorateur de journaux système.

Documentation connexe