Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ATP 어플라이언스와의 통합을 위해 SRX 시리즈 및 지리적 위치 IP 구성

IP 기반 지리적 위치(GeoIP)는 IP 주소를 컴퓨팅 장치에 연결된 인터넷의 지리적 위치에 매핑하는 것입니다. ATP 어플라이언스는 GeoIP를 지원하여 전 세계 특정 지역에서 들어오고 나가는 트래픽을 필터링할 수 있습니다.

GeoIP는 DAE(Dynamic Address Entry) 인프라를 사용합니다. DAE는 단일 IP 접두사가 아닌 IP 주소 그룹입니다. 이러한 IP 주소는 특정 도메인 또는 위협을 가하는 원치 않는 특정 위치와 같은 공통 특성이 있는 엔터티에 대한 것입니다. 그런 다음 관리자는 보안 정책 내에서 DAE를 사용하도록 보안 정책을 구성할 수 있습니다. DAE가 업데이트되면 변경 내용이 자동으로 보안 정책의 일부가 됩니다. 정책을 수동으로 업데이트할 필요가 없습니다.

참고:

피드 URL은 SRX 시리즈 방화벽을 등록하기 위해 스크립트를 실행할 때 자동으로 설정됩니다. 현재 GeoIP 및 보안 정책 구성은 CLI 명령을 사용하여 SRX 시리즈 방화벽에서 완전히 수행됩니다.

GeoIP DAE 및 보안 방화벽 정책을 만들려면 다음을 수행합니다.

  1. CLI 명령을 사용하여 DAE를 set security dynamic-address 생성합니다. 범주를 설정하고 GeoIP 속성을 (모두 소문자)로 country 설정합니다. 국가를 지정할 때 대문자 ASCII 문자로 된 두 글자 ISO 3166 국가 코드를 사용합니다. 예를 들어 US 또는 DE입니다. 전체 국가 코드 목록은 ISO 3166-1 alpha-2를 참조하십시오.

    다음 예에서 DAE 이름은 이고 my-geoip1 관심 국가는 미국(US) 및 영국(GB)입니다.

  2. show security dynamic-address CLI 명령을 사용하여 설정을 확인합니다. 출력은 다음과 유사해야 합니다.
  3. CLI 명령을 사용하여 set security policies 보안 방화벽 정책을 생성합니다.

    다음 예에서 정책은 신뢰할 수 없는 영역에서 트러스트 영역으로 변경되고, 정책 이름은 my-geoip-policy이며, 소스 주소는 my-geoip1 1단계에서 생성되며, 작업은 에 my-geoip1나열된 국가의 액세스를 거부하는 것입니다.

  4. show security policies CLI 명령을 사용하여 설정을 확인합니다. 출력은 다음과 유사해야 합니다.

단일 국가 코드에 대한 GeoIP 기반 동적 주소 삭제

다음 단계를 사용하여 단일 국가 코드에 대한 GeoIP 기반 동적 주소를 삭제할 수 있습니다.

다음 예에서 DAE 이름은 이고 my-geoip1 삭제하려는 국가 코드는 미국(US) 및 영국(GB)입니다.

위의 단계는 다른 국가 항목에 영향을주지 않고 프로필에서 국가를 성공적으로 삭제합니다.

국가 코드를 삭제한 후 명령을 사용하여 삭제를 확인할 수 있습니다 show security dynamic-address .

user@host> show security dynamic-address
참고:

명령 뒤에 옵션을 포함하여 | display xml 명령 출력을 Junos XML 태그 요소로 표시할 show security dynamic-address summary 수 있습니다.

Junos OS 릴리스 23.4R1부터 구성에 중복 IP 주소가 있는 경우 여러 번 나타나는 새 엔터티 da-summary-dynamic-address-information 를 도입했습니다. 이 명령 출력을 사용하여 중복 항목을 제거할 수 있습니다.