ATP Applianceと統合するためのSRXシリーズとジオロケーションIPの設定
IPベースのジオロケーション(GeoIP)は、コンピューティングデバイスに接続されたインターネットの地理的位置にIPアドレスをマッピングすることです。ATP Appliance は GeoIP をサポートしているため、世界中の特定の地域を行き来するトラフィックをフィルタリングできます。
GeoIPは、動的アドレスエントリ(DAE)インフラストラクチャを使用します。DAEは、単一のIPプレフィックスではなく、IPアドレスのグループです。これらの IP アドレスは、特定のドメイン用、または脅威をもたらす特定の望ましくない場所など、共通の属性を持つエンティティ用です。管理者は、セキュリティ・ポリシー内でDAEを使用するようにセキュリティ・ポリシーを構成できます。DAEが更新されると、変更は自動的にセキュリティ・ポリシーの一部になります。ポリシーを手動で更新する必要はありません。
フィードURLは、スクリプトを実行してSRXシリーズファイアウォールを登録すると自動的に設定されます。現在、GeoIPとセキュリティポリシーの設定は、CLIコマンドを使用してSRXシリーズファイアウォール上で完全に行われています。
GeoIP DAE およびセキュリティ ファイアウォール ポリシーを作成するには、次の手順を実行します。
set security dynamic-addressCLIコマンドを使用してDAEを作成します。カテゴリをGeoIPに、プロパティをcountry(すべて小文字) に設定します。国を指定するときは、大文字の ASCII 文字の 2 文字の ISO 3166 国コードを使用します。たとえば、US や DE などです。国コードの完全なリストについては、ISO 3166-1 alpha-2 を参照してください。次の例では、DAE 名は
my-geoip1で、関心のある国は米国 (US) と英国 (GB) です。user@host# set security dynamic-address address-name my-geoip1 profile category GeoIP property country string US user@host# set security dynamic-address address-name my-geoip1 profile category GeoIP property country string GB user@host# set security dynamic-address address-name my-geoip1 profile category GeoIP property country string AU
show security dynamic-addressCLI コマンドを使用して、設定を確認します。出力は次のようになります。user@host# show security dynamic-address address-name my-geoip1 { profile { category GeoIP { property country { string US; string GB; string AU; } } } } [edit]set security policiesCLIコマンドを使用して、セキュリティファイアウォールポリシーを作成します。次の例では、ポリシーはuntrustゾーンからtrustゾーンにあり、ポリシー名は
my-geoip-policyで、送信元アドレスはステップ1でmy-geoip1作成され、アクションはmy-geoip1に記載されている国からのアクセスを拒否することです。user@host# set security policies from-zone untrust to-zone trust policy my-geoip-policy match source-address my-geoip destination-address any application any user@host# set security policies from-zone untrust to-zone trust policy my-geoip-policy then deny
show security policiesCLI コマンドを使用して、設定を確認します。出力は次のようになります。user@host# show security policies ... from-zone untrust to-zone trust { policy my-geoip-policy { match { source-address my-geoip; destination-address any; application any; } then { deny; } } } ...
単一国コードのGeoIPベースの動的アドレスの削除
次の手順を使用して、1 つの国コードの GeoIP ベースの動的アドレスを削除できます。
user@host# delete security dynamic-address address-name address-name profile category GeoIP property country string CA
次の例では、DAE名は my-geoip1 で、削除する国コードは米国(US)と英国(GB)です。
user@host# delete security dynamic-address address-name my-geoip1 profile category GeoIP property country string US user@host# delete security dynamic-address address-name my-geoip1 profile category GeoIP property country string GB
上記の手順は、他の国のエントリに影響を与えることなく、プロファイルから国を正常に削除します。
国コードを削除した後、コマンドを使用して削除を show security dynamic-address 確認できます。
user@host> show security dynamic-address
node0: -------------------------------------------------------------------------- Instance default Total number of matching entries: 0 No. IP-start IP-end Feed Address CountryCode 1 1.0.0.0 1.0.0.255 geoip_country my-geoip1 AU 2 1.0.0.0 1.0.0.255 geoip_country my-geoip2 CN
コマンドの後に | display xml オプションを含めることで、show security dynamic-address summary コマンド出力を Junos XML タグ要素として表示することができます。
da-summary-dynamic-address-information が導入されました。このコマンド出力を使用して、重複するエントリを削除することができます。
user@host> show security dynamic-address summary | display xml
<rpc-reply xmlns:junos="http://">
<security-dynamic-address>
<security-dynamic-address-summary>
<da-summary-sscan>
<da-sscan-status>Disable</da-sscan-status>
<da-sscan-hold-interval>10 seconds</da-sscan-hold-interval>
</da-summary-sscan>
<da-summary-server>
</da-summary-server>
<da-summary-dynamic-address>
<da-summary-dynamic-address-information>
</da-summary-dynamic-address-information>
<da-summary-dynamic-address-information>
</da-summary-dynamic-address-information>
</da-summary-dynamic-address>
<da-summary-dynamic-address-total>
<da-instance-name>default</da-instance-name>
<da-cnt-total-v4>0</da-cnt-total-v4>
<da-cnt-total-feed-v4>0</da-cnt-total-feed-v4>
<da-cnt-total-v6>0</da-cnt-total-v6>
<da-cnt-total-feed-v6>0</da-cnt-total-feed-v6>
</da-summary-dynamic-address-total>
<da-summary-dynamic-address>
<da-summary-dynamic-address-information>
<da-name>geoip1</da-name>
<da-id>11</da-id>
<da-entry-cnt-v4>39</da-entry-cnt-v4>
<da-entry-cnt-v6>56</da-entry-cnt-v6>
<da-sscan-entry-status>Disable</da-sscan-entry-status>
<da-mapping-feed>
</da-mapping-feed>
<da-rule>
<da-category-name>GeoIP</da-category-name>
<da-category-feed>---</da-category-feed>
</da-rule>
<da-property>
<da-property-name>country</da-property-name>
<da-property-value>KP</da-property-value>
</da-property>
</da-summary-dynamic-address-information>
<da-summary-dynamic-address-information>
<da-name>geoip2</da-name>
<da-id>12</da-id>
<da-entry-cnt-v4>88</da-entry-cnt-v4>
<da-entry-cnt-v6>38</da-entry-cnt-v6>
<da-sscan-entry-status>Disable</da-sscan-entry-status>
<da-mapping-feed>
</da-mapping-feed>
<da-rule>
<da-category-name>GeoIP</da-category-name>
<da-category-feed>---</da-category-feed>
</da-rule>
<da-property>
<da-property-name>country</da-property-name>
<da-property-value>VC</da-property-value>
</da-property>
</da-summary-dynamic-address-information>
</da-summary-dynamic-address>
<da-summary-dynamic-address-total>
<da-instance-name>geoip</da-instance-name>
<da-cnt-total-v4>127</da-cnt-total-v4>
<da-cnt-total-v6>94</da-cnt-total-v6>
</da-summary-dynamic-address-total>
</security-dynamic-address-summary>
<security-dynamic-address-summary>
<da-summary-dynamic-address-total>
<da-instance-name>advanced-anti-malware</da-instance-name>
<da-cnt-total-v4>0</da-cnt-total-v4>
<da-cnt-total-v6>0</da-cnt-total-v6>
</da-summary-dynamic-address-total>
</security-dynamic-address-summary>
</security-dynamic-address>
システムログメッセージ
セッション拒否メッセージを使用して、次のフィールドを確認できます。
source-country—ポリシーの動的アドレス一致を参照した送信元アドレスの国コード。destination-country—ポリシー動的アドレス一致を参照した宛先アドレスの国コード。
システムログメッセージに有効な国コードが表示されるのは、一致したポリシーにGeoIPで設定された動的アドレスが含まれている場合のみです。一致したポリシーにGeoIPが設定されていない場合、[ source-country ]フィールドと[ destination-country ]フィールドに N/Aが表示されます。
システムログメッセージの完全なリストについては、 システムログエクスプローラを参照してください。