Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

位置情報IPでJuniper Advanced Threat Prevention Cloudを設定

Juniper ATP CloudにGeoIPを設定するには、まずGeoIP DAEを作成し、対象国を指定します。次に、SRXシリーズファイアウォールでセキュリティファイアウォールポリシーを作成してDAEを参照し、アクセスを許可するかブロックするかを定義します。

GeoIP DAE およびセキュリティ ファイアウォール ポリシーを作成するには、次の手順を実行します。

  1. set security dynamic-address CLIコマンドを使用してDAEを作成します。カテゴリを GeoIP に、プロパティを country (すべて小文字) に設定します。国を指定するときは、大文字の ASCII 文字の 2 文字の ISO 3166 国コードを使用します。たとえば、US や DE などです。国コードの完全なリストについては、ISO 3166-1 alpha-2 を参照してください。表 1 は、ISO 3166-1 alpha-2 に含まれていない追加コードの一覧です。
    表 1: 追加コード

    コード

    追加情報

    A1 (日本語)

    匿名プロキシ

    この国コードは、特定の匿名プロキシまたはVPNサービスで使用されるIPアドレスのセットを識別します。これらのタイプのサービスは、GeoIPの制限を回避するために使用される場合があります。

    手記:

    この国コードは、すべてのプロキシ トラフィックを完全に網羅するわけではありません。これは、特定の合法的な匿名プロキシのトラフィックを識別します。

    A2:日本語

    サテライトプロバイダ

    この国コードは、衛星ISPが複数の国にインターネットサービスを提供するために使用するIPアドレスのセットを識別します。例: ナイジェリアとガーナ。

    AP

    アジア/太平洋地域

    この国コードは、アジア太平洋地域に広がる一連のIPアドレスを識別します。このIPアドレスのセットの送信元は不明です。

    手記:

    この国コードは、アジア太平洋地域のIPアドレスの小さなサブセットで構成されています。

    EUの

    ヨーロッパ

    この国コードは、ヨーロッパ全域に広がる一連の IP アドレスを識別します。このIPアドレスのセットの送信元は不明です。

    手記:

    この国コードは、ヨーロッパのすべてのIPアドレスをカバーしているわけではありません。

    VA

    バチカン市国

     

    として

    アジア

     

    OCの

    オセアニア

     

    次の例では、DAE 名は my-geoip で、関心のある国は米国 (US) と英国 (GB) です。

  2. show security dynamic-address を使用するCLI コマンドを使用して設定を確認します。出力は次のようになります。
  3. set security policiesを使用してセキュリティファイアウォールポリシーを作成しますCLI コマンドを使用します。

    次の例では、ポリシーはuntrustゾーンからtrustゾーンにあり、ポリシー名は my-geoip-policyで、送信元アドレスはステップ1で my-geoip 作成され、アクションは my-geoipに記載されている国からのアクセスを拒否することです。

  4. show security policiesを使用するCLI コマンドを使用して設定を確認します。出力は次のようになります。
  5. set dynamic addressを使用して、カテゴリフィードを動的アドレスにインポートします。CLI コマンドを使用します。
    次の例では、送信元アドレスがステップ 1 で my-geoip 作成され、アクションは GeoIP カテゴリのフィードを動的アドレスにインポートすることです。
  6. show security dynamic-addressを使用するCLI コマンドを使用して設定を確認します。出力は次のようになります。

    単一国コードのGeoIPベースの動的アドレスの削除

    次の手順を使用して、1 つの国コードの GeoIP ベースの動的アドレスを削除できます。

    次の例では、DAE名は my-geoip で、削除する国コードは米国(US)と英国(GB)です。

    上記の手順は、他の国のエントリに影響を与えることなく、プロファイルから国を正常に削除します。

    国コードを削除した後、 show security dynamic-address コマンドを使用して削除を確認できます。

    show security dynamic-address

GeoIPを搭載したJuniper ATP Cloudは、Juniper ATP Cloudに登録されているSRXシリーズファイアウォールからの整合性チェックとロギングを改善します。

セッション拒否メッセージには、次のフィールドが含まれます。

  • source-country:ポリシーの動的アドレス一致を参照して、送信元アドレスの国コードを表示します。
  • destination-country—ポリシーの動的アドレス一致を参照して、宛先アドレスの国コードを表示します。

システムログメッセージに有効な国コードが表示されるのは、一致したポリシーにGeoIPで設定された動的アドレスが含まれている場合のみです。一致したポリシーにGeoIPが設定されていない場合、[ source-country ]フィールドと[ destination-country ]フィールドに N/Aが表示されます。詳細については、「 システム ログ エクスプローラ 」を参照してください。