ATP Applianceと統合するためのSRXシリーズおよびGeolocation IPの設定
IPベースのジオロケーション(GeoIP)は、IPアドレスをコンピューティングデバイスに接続されたインターネットの地理的位置へのマッピングです。ATP ApplianceはGeoIPをサポートしており、世界の特定の地域との間のトラフィックをフィルタリングすることができます。
GeoIP は、動的アドレス エントリ (DAE) インフラストラクチャを使用します。DAEは、単一のIPプレフィックスではなく、IPアドレスのグループです。これらの IP アドレスは、特定のドメイン用、または脅威をもたらす特定の望ましくない場所など、共通の属性を持つエンティティ用です。その後、管理者は、セキュリティ ポリシー内でDAEを使用するようにセキュリティ ポリシーを構成できます。DAEが更新されると、その変更は自動的にセキュリティ・ポリシーの一部になります。ポリシーを手動で更新する必要はありません。
フィードURLは、SRXシリーズファイアウォールを登録するスクリプトを実行すると、自動的に設定されます。現在、GeoIPとセキュリティポリシーの設定は、CLIコマンドを使用してSRXシリーズファイアウォール上で完全に行われています。
GeoIP DAE およびセキュリティ ファイアウォール ポリシーを作成するには、次の手順を実行します。
- CLIコマンドを使用してDAE
set security dynamic-address
を作成します。カテゴリGeoIP
を に設定し、プロパティcountry
を (すべて小文字) に設定します。国を指定するときは、大文字の ASCII 文字で 2 文字の ISO 3166 国コードを使用します。たとえば、US や DE などです。国コードの完全な一覧については、 ISO 3166-1 alpha-2 を参照してください。次の例では、DAE名は
my-geoip1
で、対象となる国は米国(US)と英国(GB)です。user@host# set security dynamic-address address-name my-geoip1 profile category GeoIP property country string US user@host# set security dynamic-address address-name my-geoip1 profile category GeoIP property country string GB user@host# set security dynamic-address address-name my-geoip1 profile category GeoIP property country string AU
- CLI コマンドを使用して設定
show security dynamic-address
を確認します。出力は次のようになります。user@host# show security dynamic-address address-name my-geoip1 { profile { category GeoIP { property country { string US; string GB; string AU; } } } } [edit]
- CLI コマンドを使用して、
set security policies
セキュリティ ファイアウォール ポリシーを作成します。次の例では、ポリシーはuntrustからtrustゾーンへのもので、ポリシー名は で
my-geoip-policy
、ステップ1で送信元アドレスが作成されmy-geoip1
、アクションはに記載されているmy-geoip1
国からのアクセスを拒否します。user@host# set security policies from-zone untrust to-zone trust policy my-geoip-policy match source-address my-geoip destination-address any application any user@host# set security policies from-zone untrust to-zone trust policy my-geoip-policy then deny
- CLI コマンドを使用して設定
show security policies
を確認します。出力は次のようになります。user@host# show security policies ... from-zone untrust to-zone trust { policy my-geoip-policy { match { source-address my-geoip; destination-address any; application any; } then { deny; } } } ...
単一国コードの GeoIP ベースの動的住所の削除
次の手順を使用して、1 つの国コードの GeoIP ベースの動的住所を削除できます。
user@host# delete security dynamic-address address-name address-name profile category GeoIP property country string CA
次の例では、DAE名は my-geoip1
で、削除する国コードは米国(US)と英国(GB)です。
user@host# delete security dynamic-address address-name my-geoip1 profile category GeoIP property country string US user@host# delete security dynamic-address address-name my-geoip1 profile category GeoIP property country string GB
上記の手順では、他の国のエントリに影響を与えることなく、プロファイルから国を正常に削除します。
国コードを削除した後、 コマンドを使用して削除 show security dynamic-address
を確認できます。
user@host> show security dynamic-address
node0: -------------------------------------------------------------------------- Instance default Total number of matching entries: 0 No. IP-start IP-end Feed Address CountryCode 1 1.0.0.0 1.0.0.255 geoip_country my-geoip1 AU 2 1.0.0.0 1.0.0.255 geoip_country my-geoip2 CN
コマンドの後に オプションを含める| display xml
ことで、show security dynamic-address summary
コマンド出力をJunos XMLタグ要素として表示できます。
da-summary-dynamic-address-information
が導入されました。このコマンドの出力を使用して、重複するエントリを削除できます。
user@host> show security dynamic-address summary | display xml <rpc-reply xmlns:junos="http://"> <security-dynamic-address> <security-dynamic-address-summary> <da-summary-sscan> <da-sscan-status>Disable</da-sscan-status> <da-sscan-hold-interval>10 seconds</da-sscan-hold-interval> </da-summary-sscan> <da-summary-server> </da-summary-server> <da-summary-dynamic-address> <da-summary-dynamic-address-information> </da-summary-dynamic-address-information> <da-summary-dynamic-address-information> </da-summary-dynamic-address-information> </da-summary-dynamic-address> <da-summary-dynamic-address-total> <da-instance-name>default</da-instance-name> <da-cnt-total-v4>0</da-cnt-total-v4> <da-cnt-total-feed-v4>0</da-cnt-total-feed-v4> <da-cnt-total-v6>0</da-cnt-total-v6> <da-cnt-total-feed-v6>0</da-cnt-total-feed-v6> </da-summary-dynamic-address-total> <da-summary-dynamic-address> <da-summary-dynamic-address-information> <da-name>geoip1</da-name> <da-id>11</da-id> <da-entry-cnt-v4>39</da-entry-cnt-v4> <da-entry-cnt-v6>56</da-entry-cnt-v6> <da-sscan-entry-status>Disable</da-sscan-entry-status> <da-mapping-feed> </da-mapping-feed> <da-rule> <da-category-name>GeoIP</da-category-name> <da-category-feed>---</da-category-feed> </da-rule> <da-property> <da-property-name>country</da-property-name> <da-property-value>KP</da-property-value> </da-property> </da-summary-dynamic-address-information> <da-summary-dynamic-address-information> <da-name>geoip2</da-name> <da-id>12</da-id> <da-entry-cnt-v4>88</da-entry-cnt-v4> <da-entry-cnt-v6>38</da-entry-cnt-v6> <da-sscan-entry-status>Disable</da-sscan-entry-status> <da-mapping-feed> </da-mapping-feed> <da-rule> <da-category-name>GeoIP</da-category-name> <da-category-feed>---</da-category-feed> </da-rule> <da-property> <da-property-name>country</da-property-name> <da-property-value>VC</da-property-value> </da-property> </da-summary-dynamic-address-information> </da-summary-dynamic-address> <da-summary-dynamic-address-total> <da-instance-name>geoip</da-instance-name> <da-cnt-total-v4>127</da-cnt-total-v4> <da-cnt-total-v6>94</da-cnt-total-v6> </da-summary-dynamic-address-total> </security-dynamic-address-summary> <security-dynamic-address-summary> <da-summary-dynamic-address-total> <da-instance-name>advanced-anti-malware</da-instance-name> <da-cnt-total-v4>0</da-cnt-total-v4> <da-cnt-total-v6>0</da-cnt-total-v6> </da-summary-dynamic-address-total> </security-dynamic-address-summary> </security-dynamic-address>