이 페이지 내용
ATP 어플라이언스와의 통합을 위해 SRX 시리즈 및 지리적 위치 IP를 구성합니다
IP 기반 지리적 위치(GeoIP)는 컴퓨팅 장치에 연결된 인터넷의 지리적 위치에 IP 주소를 매핑하는 것입니다. ATP 어플라이언스는 GeoIP를 지원하므로 전 세계 특정 지역에서 오고 가는 트래픽을 필터링할 수 있습니다.
GeoIP는 DAE(Dynamic Address Entry) 인프라를 사용합니다. DAE는 단일 IP 접두사가 아닌 IP 주소 그룹입니다. 이러한 IP 주소는 특정 도메인 또는 위협을 가하는 원치 않는 특정 위치와 같은 공통 특성을 가진 엔터티를 위한 것입니다. 그런 다음 관리자는 보안 정책 내에서 DAE를 사용하도록 보안 정책을 구성할 수 있습니다. DAE가 업데이트되면 변경 사항이 자동으로 보안 정책의 일부가 됩니다. 정책을 수동으로 업데이트할 필요가 없습니다.
피드 URL은 SRX 시리즈 방화벽을 등록하기 위해 스크립트를 실행할 때 자동으로 설정됩니다. 현재 GeoIP 및 보안 정책 구성은 CLI 명령을 사용하여 SRX 시리즈 방화벽에서 완전히 수행됩니다.
GeoIP DAE 및 보안 방화벽 정책을 생성하려면 다음을 수행합니다.
- CLI 명령을 사용하여 DAE를
set security dynamic-address생성합니다. 범주GeoIP를 설정하고 속성을 (모두 소문자)로country설정합니다. 국가를 지정할 때 대문자 ASCII 문자로 된 두 글자 ISO 3166 국가 코드를 사용합니다. 예를 들어 US 또는 DE입니다. 전체 국가 코드 목록은 ISO 3166-1 alpha-2를 참조하십시오.다음 예에서 DAE 이름은 이고
my-geoip1관심 있는 국가는 미국(US) 및 영국(GB)입니다.user@host# set security dynamic-address address-name my-geoip1 profile category GeoIP property country string US user@host# set security dynamic-address address-name my-geoip1 profile category GeoIP property country string GB user@host# set security dynamic-address address-name my-geoip1 profile category GeoIP property country string AU
show security dynamic-addressCLI 명령을 사용하여 설정을 확인합니다. 출력은 다음과 유사해야 합니다.user@host# show security dynamic-address address-name my-geoip1 { profile { category GeoIP { property country { string US; string GB; string AU; } } } } [edit]- CLI 명령을 사용하여
set security policies보안 방화벽 정책을 생성합니다.다음 예에서 정책은 신뢰할 수 없는 영역에서 신뢰할 수 있는 영역으로, 정책 이름은 이고, 소스 주소는
my-geoip-policymy-geoip11단계에서 생성되며, 작업은 에my-geoip1나열된 국가의 액세스를 거부하는 것입니다.user@host# set security policies from-zone untrust to-zone trust policy my-geoip-policy match source-address my-geoip destination-address any application any user@host# set security policies from-zone untrust to-zone trust policy my-geoip-policy then deny
show security policiesCLI 명령을 사용하여 설정을 확인합니다. 출력은 다음과 유사해야 합니다.user@host# show security policies ... from-zone untrust to-zone trust { policy my-geoip-policy { match { source-address my-geoip; destination-address any; application any; } then { deny; } } } ...
단일 국가 코드에 대한 GeoIP 기반 동적 주소 삭제
다음 단계를 사용하여 단일 국가 코드에 대한 GeoIP 기반 동적 주소를 삭제할 수 있습니다.
user@host# delete security dynamic-address address-name address-name profile category GeoIP property country string CA
다음 예에서 DAE 이름은 이고 my-geoip1 삭제할 국가 코드는 미국(US) 및 영국(GB)입니다.
user@host# delete security dynamic-address address-name my-geoip1 profile category GeoIP property country string US user@host# delete security dynamic-address address-name my-geoip1 profile category GeoIP property country string GB
위의 단계는 다른 국가 항목에 영향을 주지 않고 프로필에서 국가를 성공적으로 삭제합니다.
국가 코드를 삭제한 후 명령을 사용하여 삭제를 show security dynamic-address 확인할 수 있습니다.
user@host> show security dynamic-address
node0: -------------------------------------------------------------------------- Instance default Total number of matching entries: 0 No. IP-start IP-end Feed Address CountryCode 1 1.0.0.0 1.0.0.255 geoip_country my-geoip1 AU 2 1.0.0.0 1.0.0.255 geoip_country my-geoip2 CN
명령 뒤에 옵션을 포함하여 | display xml 명령 출력을 Junos XML 태그 요소로 표시할 show security dynamic-address summary 수 있습니다.
da-summary-dynamic-address-information 를 도입했습니다. 이 명령 출력을 사용하여 중복 항목을 제거할 수 있습니다.
user@host> show security dynamic-address summary | display xml
<rpc-reply xmlns:junos="http://">
<security-dynamic-address>
<security-dynamic-address-summary>
<da-summary-sscan>
<da-sscan-status>Disable</da-sscan-status>
<da-sscan-hold-interval>10 seconds</da-sscan-hold-interval>
</da-summary-sscan>
<da-summary-server>
</da-summary-server>
<da-summary-dynamic-address>
<da-summary-dynamic-address-information>
</da-summary-dynamic-address-information>
<da-summary-dynamic-address-information>
</da-summary-dynamic-address-information>
</da-summary-dynamic-address>
<da-summary-dynamic-address-total>
<da-instance-name>default</da-instance-name>
<da-cnt-total-v4>0</da-cnt-total-v4>
<da-cnt-total-feed-v4>0</da-cnt-total-feed-v4>
<da-cnt-total-v6>0</da-cnt-total-v6>
<da-cnt-total-feed-v6>0</da-cnt-total-feed-v6>
</da-summary-dynamic-address-total>
<da-summary-dynamic-address>
<da-summary-dynamic-address-information>
<da-name>geoip1</da-name>
<da-id>11</da-id>
<da-entry-cnt-v4>39</da-entry-cnt-v4>
<da-entry-cnt-v6>56</da-entry-cnt-v6>
<da-sscan-entry-status>Disable</da-sscan-entry-status>
<da-mapping-feed>
</da-mapping-feed>
<da-rule>
<da-category-name>GeoIP</da-category-name>
<da-category-feed>---</da-category-feed>
</da-rule>
<da-property>
<da-property-name>country</da-property-name>
<da-property-value>KP</da-property-value>
</da-property>
</da-summary-dynamic-address-information>
<da-summary-dynamic-address-information>
<da-name>geoip2</da-name>
<da-id>12</da-id>
<da-entry-cnt-v4>88</da-entry-cnt-v4>
<da-entry-cnt-v6>38</da-entry-cnt-v6>
<da-sscan-entry-status>Disable</da-sscan-entry-status>
<da-mapping-feed>
</da-mapping-feed>
<da-rule>
<da-category-name>GeoIP</da-category-name>
<da-category-feed>---</da-category-feed>
</da-rule>
<da-property>
<da-property-name>country</da-property-name>
<da-property-value>VC</da-property-value>
</da-property>
</da-summary-dynamic-address-information>
</da-summary-dynamic-address>
<da-summary-dynamic-address-total>
<da-instance-name>geoip</da-instance-name>
<da-cnt-total-v4>127</da-cnt-total-v4>
<da-cnt-total-v6>94</da-cnt-total-v6>
</da-summary-dynamic-address-total>
</security-dynamic-address-summary>
<security-dynamic-address-summary>
<da-summary-dynamic-address-total>
<da-instance-name>advanced-anti-malware</da-instance-name>
<da-cnt-total-v4>0</da-cnt-total-v4>
<da-cnt-total-v6>0</da-cnt-total-v6>
</da-summary-dynamic-address-total>
</security-dynamic-address-summary>
</security-dynamic-address>
시스템 로그 메시지
세션 거부 메시지를 사용하여 다음 필드를 확인할 수 있습니다.
source-country- 정책 동적 주소 일치를 참조한 소스 주소의 국가 코드입니다.destination-country- 정책 동적 주소 일치를 참조한 대상 주소의 국가 코드입니다.
시스템 로그 메시지는 일치하는 정책에 GeoIP로 구성된 동적 주소가 포함된 경우에만 유효한 국가 코드를 표시합니다. 일치하는 정책에 GeoIP가 구성되지 않은 경우 및 destination-country 필드가 source-country 표시됩니다N/A.
시스템 로그 메시지의 전체 목록은 시스템 로그 탐색기를 참조하세요.