ATP 어플라이언스와의 통합을 위해 SRX 시리즈 및 지리적 위치 IP 구성
IP 기반 지리적 위치(GeoIP)는 IP 주소를 컴퓨팅 장치에 연결된 인터넷의 지리적 위치에 매핑하는 것입니다. ATP 어플라이언스는 GeoIP를 지원하여 전 세계 특정 지역에서 들어오고 나가는 트래픽을 필터링할 수 있습니다.
GeoIP는 DAE(Dynamic Address Entry) 인프라를 사용합니다. DAE는 단일 IP 접두사가 아닌 IP 주소 그룹입니다. 이러한 IP 주소는 특정 도메인 또는 위협을 가하는 원치 않는 특정 위치와 같은 공통 특성이 있는 엔터티에 대한 것입니다. 그런 다음 관리자는 보안 정책 내에서 DAE를 사용하도록 보안 정책을 구성할 수 있습니다. DAE가 업데이트되면 변경 내용이 자동으로 보안 정책의 일부가 됩니다. 정책을 수동으로 업데이트할 필요가 없습니다.
피드 URL은 SRX 시리즈 방화벽을 등록하기 위해 스크립트를 실행할 때 자동으로 설정됩니다. 현재 GeoIP 및 보안 정책 구성은 CLI 명령을 사용하여 SRX 시리즈 방화벽에서 완전히 수행됩니다.
GeoIP DAE 및 보안 방화벽 정책을 만들려면 다음을 수행합니다.
- CLI 명령을 사용하여 DAE를
set security dynamic-address
생성합니다. 범주를 설정하고GeoIP
속성을 (모두 소문자)로country
설정합니다. 국가를 지정할 때 대문자 ASCII 문자로 된 두 글자 ISO 3166 국가 코드를 사용합니다. 예를 들어 US 또는 DE입니다. 전체 국가 코드 목록은 ISO 3166-1 alpha-2를 참조하십시오.다음 예에서 DAE 이름은 이고
my-geoip1
관심 국가는 미국(US) 및 영국(GB)입니다.user@host# set security dynamic-address address-name my-geoip1 profile category GeoIP property country string US user@host# set security dynamic-address address-name my-geoip1 profile category GeoIP property country string GB user@host# set security dynamic-address address-name my-geoip1 profile category GeoIP property country string AU
show security dynamic-address
CLI 명령을 사용하여 설정을 확인합니다. 출력은 다음과 유사해야 합니다.user@host# show security dynamic-address address-name my-geoip1 { profile { category GeoIP { property country { string US; string GB; string AU; } } } } [edit]
- CLI 명령을 사용하여
set security policies
보안 방화벽 정책을 생성합니다.다음 예에서 정책은 신뢰할 수 없는 영역에서 트러스트 영역으로 변경되고, 정책 이름은
my-geoip-policy
이며, 소스 주소는my-geoip1
1단계에서 생성되며, 작업은 에my-geoip1
나열된 국가의 액세스를 거부하는 것입니다.user@host# set security policies from-zone untrust to-zone trust policy my-geoip-policy match source-address my-geoip destination-address any application any user@host# set security policies from-zone untrust to-zone trust policy my-geoip-policy then deny
show security policies
CLI 명령을 사용하여 설정을 확인합니다. 출력은 다음과 유사해야 합니다.user@host# show security policies ... from-zone untrust to-zone trust { policy my-geoip-policy { match { source-address my-geoip; destination-address any; application any; } then { deny; } } } ...
단일 국가 코드에 대한 GeoIP 기반 동적 주소 삭제
다음 단계를 사용하여 단일 국가 코드에 대한 GeoIP 기반 동적 주소를 삭제할 수 있습니다.
user@host# delete security dynamic-address address-name address-name profile category GeoIP property country string CA
다음 예에서 DAE 이름은 이고 my-geoip1
삭제하려는 국가 코드는 미국(US) 및 영국(GB)입니다.
user@host# delete security dynamic-address address-name my-geoip1 profile category GeoIP property country string US user@host# delete security dynamic-address address-name my-geoip1 profile category GeoIP property country string GB
위의 단계는 다른 국가 항목에 영향을주지 않고 프로필에서 국가를 성공적으로 삭제합니다.
국가 코드를 삭제한 후 명령을 사용하여 삭제를 확인할 수 있습니다 show security dynamic-address
.
user@host> show security dynamic-address
node0: -------------------------------------------------------------------------- Instance default Total number of matching entries: 0 No. IP-start IP-end Feed Address CountryCode 1 1.0.0.0 1.0.0.255 geoip_country my-geoip1 AU 2 1.0.0.0 1.0.0.255 geoip_country my-geoip2 CN
명령 뒤에 옵션을 포함하여 | display xml
명령 출력을 Junos XML 태그 요소로 표시할 show security dynamic-address summary
수 있습니다.
da-summary-dynamic-address-information
를 도입했습니다. 이 명령 출력을 사용하여 중복 항목을 제거할 수 있습니다.
user@host> show security dynamic-address summary | display xml <rpc-reply xmlns:junos="http://"> <security-dynamic-address> <security-dynamic-address-summary> <da-summary-sscan> <da-sscan-status>Disable</da-sscan-status> <da-sscan-hold-interval>10 seconds</da-sscan-hold-interval> </da-summary-sscan> <da-summary-server> </da-summary-server> <da-summary-dynamic-address> <da-summary-dynamic-address-information> </da-summary-dynamic-address-information> <da-summary-dynamic-address-information> </da-summary-dynamic-address-information> </da-summary-dynamic-address> <da-summary-dynamic-address-total> <da-instance-name>default</da-instance-name> <da-cnt-total-v4>0</da-cnt-total-v4> <da-cnt-total-feed-v4>0</da-cnt-total-feed-v4> <da-cnt-total-v6>0</da-cnt-total-v6> <da-cnt-total-feed-v6>0</da-cnt-total-feed-v6> </da-summary-dynamic-address-total> <da-summary-dynamic-address> <da-summary-dynamic-address-information> <da-name>geoip1</da-name> <da-id>11</da-id> <da-entry-cnt-v4>39</da-entry-cnt-v4> <da-entry-cnt-v6>56</da-entry-cnt-v6> <da-sscan-entry-status>Disable</da-sscan-entry-status> <da-mapping-feed> </da-mapping-feed> <da-rule> <da-category-name>GeoIP</da-category-name> <da-category-feed>---</da-category-feed> </da-rule> <da-property> <da-property-name>country</da-property-name> <da-property-value>KP</da-property-value> </da-property> </da-summary-dynamic-address-information> <da-summary-dynamic-address-information> <da-name>geoip2</da-name> <da-id>12</da-id> <da-entry-cnt-v4>88</da-entry-cnt-v4> <da-entry-cnt-v6>38</da-entry-cnt-v6> <da-sscan-entry-status>Disable</da-sscan-entry-status> <da-mapping-feed> </da-mapping-feed> <da-rule> <da-category-name>GeoIP</da-category-name> <da-category-feed>---</da-category-feed> </da-rule> <da-property> <da-property-name>country</da-property-name> <da-property-value>VC</da-property-value> </da-property> </da-summary-dynamic-address-information> </da-summary-dynamic-address> <da-summary-dynamic-address-total> <da-instance-name>geoip</da-instance-name> <da-cnt-total-v4>127</da-cnt-total-v4> <da-cnt-total-v6>94</da-cnt-total-v6> </da-summary-dynamic-address-total> </security-dynamic-address-summary> <security-dynamic-address-summary> <da-summary-dynamic-address-total> <da-instance-name>advanced-anti-malware</da-instance-name> <da-cnt-total-v4>0</da-cnt-total-v4> <da-cnt-total-v6>0</da-cnt-total-v6> </da-summary-dynamic-address-total> </security-dynamic-address-summary> </security-dynamic-address>