Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ATP Applianceと統合するためのSRXシリーズおよびGeolocation IPの設定

IPベースのジオロケーション(GeoIP)は、IPアドレスをコンピューティングデバイスに接続されたインターネットの地理的位置へのマッピングです。ATP ApplianceはGeoIPをサポートしており、世界の特定の地域との間のトラフィックをフィルタリングすることができます。

GeoIP は、動的アドレス エントリ (DAE) インフラストラクチャを使用します。DAEは、単一のIPプレフィックスではなく、IPアドレスのグループです。これらの IP アドレスは、特定のドメイン用、または脅威をもたらす特定の望ましくない場所など、共通の属性を持つエンティティ用です。その後、管理者は、セキュリティ ポリシー内でDAEを使用するようにセキュリティ ポリシーを構成できます。DAEが更新されると、その変更は自動的にセキュリティ・ポリシーの一部になります。ポリシーを手動で更新する必要はありません。

メモ:

フィードURLは、SRXシリーズファイアウォールを登録するスクリプトを実行すると、自動的に設定されます。現在、GeoIPとセキュリティポリシーの設定は、CLIコマンドを使用してSRXシリーズファイアウォール上で完全に行われています。

GeoIP DAE およびセキュリティ ファイアウォール ポリシーを作成するには、次の手順を実行します。

  1. CLIコマンドを使用してDAE set security dynamic-address を作成します。カテゴリ GeoIP を に設定し、プロパティ country を (すべて小文字) に設定します。国を指定するときは、大文字の ASCII 文字で 2 文字の ISO 3166 国コードを使用します。たとえば、US や DE などです。国コードの完全な一覧については、 ISO 3166-1 alpha-2 を参照してください。

    次の例では、DAE名は my-geoip1 で、対象となる国は米国(US)と英国(GB)です。

  2. CLI コマンドを使用して設定 show security dynamic-address を確認します。出力は次のようになります。
  3. CLI コマンドを使用して、 set security policies セキュリティ ファイアウォール ポリシーを作成します。

    次の例では、ポリシーはuntrustからtrustゾーンへのもので、ポリシー名は で my-geoip-policy、ステップ1で送信元アドレスが作成され my-geoip1 、アクションはに記載されている my-geoip1国からのアクセスを拒否します。

  4. CLI コマンドを使用して設定 show security policies を確認します。出力は次のようになります。

単一国コードの GeoIP ベースの動的住所の削除

次の手順を使用して、1 つの国コードの GeoIP ベースの動的住所を削除できます。

次の例では、DAE名は my-geoip1 で、削除する国コードは米国(US)と英国(GB)です。

上記の手順では、他の国のエントリに影響を与えることなく、プロファイルから国を正常に削除します。

国コードを削除した後、 コマンドを使用して削除 show security dynamic-address を確認できます。

user@host> show security dynamic-address
メモ:

コマンドの後に オプションを含める| display xmlことで、show security dynamic-address summaryコマンド出力をJunos XMLタグ要素として表示できます。

Junos OSリリース23.4R1以降、設定に重複するIPアドレスが存在する場合に備えて、複数回表示される新しいエンティティ da-summary-dynamic-address-information が導入されました。このコマンドの出力を使用して、重複するエントリを削除できます。