Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

地理位置情報IPでジュニパーATPクラウドを設定する

GeoIPを使用してジュニパーATPクラウドを設定するには、GeoIP DAEを作成し、関心のある国を指定します。次に、SRXシリーズファイアウォールでセキュリティファイアウォールポリシーを作成して、DAEを参照して、アクセスを許可またはブロックするかどうかを定義します。

GeoIP DAEおよびセキュリティファイアウォールポリシーを作成するには:

  1. set security dynamic-address CLIコマンドを使用してDAEを作成します。カテゴリをGeoIPに設定し、プロパティをcountry(すべて小文字)に設定します。国を指定するときは、大文字の ASCII 文字で 2 文字の ISO 3166 国コードを使用します。たとえば、米国またはドイツです。国コードの完全なリストについては、ISO 3166-1 alpha-2を参照してください。表1は、ISO 3166-1 alpha-2に含まれていない追加のコードを示しています。
    表1:追加コード

    コード

    国名

    追加情報

    A1

    匿名プロキシ

    この国コードは、特定の匿名プロキシまたはVPNサービスで使用されるIPアドレスのセットを識別します。これらのタイプのサービスは、GeoIPの制限を回避するために使用される場合があります。

    注:

    この国コードは、すべてのプロキシトラフィックを完全にカバーするわけではありません。特定の合法的な匿名プロキシのトラフィックを識別します。

    A2

    サテライトプロバイダー

    この国コードは、サテライトISPが複数の国にインターネットサービスを提供するために使用するIPアドレスのセットを識別します。例:ナイジェリアとガーナ。

    AP

    アジア太平洋地域

    この国コードは、アジア太平洋地域に広がる一連のIPアドレスを識別します。この一連のIPアドレスの発信元国は不明です。

    注:

    この国コードは、アジア太平洋地域のIPアドレスの小さなサブセットで構成されています。

    EU

    ヨーロッパ

    この国コードは、ヨーロッパに広がる一連のIPアドレスを識別します。この一連のIPアドレスの発信元国は不明です。

    注:

    この国コードは、ヨーロッパのすべてのIPアドレスをカバーするわけではありません。

    VA

    バチカン市国

    		  

    AS

    アジア

    		  

    OC

    オセアニア

    		  

    次の例では、DAE 名は my-geoip で、対象となる国は米国 (US) と英国 (GB) です。

  2. show security dynamic-address を使用するCLIコマンドを使用して設定を確認します。出力は次のようになります。
  3. set security policiesを使用してセキュリティファイアウォールポリシーを作成します。CLIコマンドを実行します。

    次の例では、ポリシーはuntrustからtrustゾーンへ、ポリシー名は my-geoip-policy、送信元アドレスはステップ1で作成 my-geoip 、アクションは my-geoipに記載されている国からのアクセスを拒否することです。

  4. show security policiesを使用するCLIコマンドを使用して設定を確認します。出力は次のようになります。

    単一国コードのGeoIPベースの動的アドレスの削除

    以下の手順を使用して、単一の国コードのGeoIPベースの動的アドレスを削除できます。

    次の例では、DAE名は my-geoip で、削除する国コードは米国(US)と英国(GB)です。

    上記の手順では、他の国のエントリに影響を与えることなく、プロファイルから国を正常に削除します。

    国コードを削除した後、 show security dynamic-address コマンドを使用して削除を確認できます。

    show security dynamic-address

GeoIPを備えたジュニパーATPクラウドは、ジュニパーATPクラウドに登録されているSRXシリーズファイアウォールからの整合性チェックとロギングを改善します。

セッション拒否メッセージには、以下のフィールドが含まれます。

  • source-country—ポリシー動的アドレス一致を参照して送信元アドレスの国コードを表示します。
  • destination-country—ポリシーの動的アドレス一致を参照して、宛先アドレスの国コードを表示します。

システムログメッセージには、一致したポリシーにGeoIPで設定された動的アドレスが含まれている場合にのみ、有効な国コードが表示されます。一致したポリシーにGeoIPが設定されていない場合、 source-country フィールドと destination-country フィールドに N/Aが表示されます。詳細については、 システムログエクスプローラを参照してください

関連ドキュメント