Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configure la serie SRX y la IP de geolocalización para la integración con el dispositivo ATP

La geolocalización basada en IP (GeoIP) es una asignación de una dirección IP a la ubicación geográfica de un Internet conectado a un dispositivo informático. ATP Appliance es compatible con GeoIP, lo que le permite filtrar el tráfico hacia y desde geografías específicas del mundo.

GeoIP utiliza una infraestructura de entrada dinámica de direcciones (DAE). Un DAE es un grupo de direcciones IP, no un solo prefijo IP. Estas direcciones IP son para dominios específicos o para entidades que tienen un atributo común, como una ubicación no deseada particular que representa una amenaza. A continuación, el administrador puede configurar políticas de seguridad para utilizar el DAE dentro de una política de seguridad. Cuando se actualiza el DAE, los cambios pasan a formar parte automáticamente de la política de seguridad. No es necesario actualizar la directiva manualmente.

Nota:

La URL de la fuente se configura automáticamente cuando ejecuta el script para inscribir el firewall de la serie SRX. Actualmente, la configuración de GeoIP y las políticas de seguridad se realiza completamente en el firewall de la serie SRX mediante comandos de CLI.

Para crear el DAE GeoIP y la política de firewall de seguridad:

  1. Cree el DAE mediante el comando de la set security dynamic-address CLI. Establezca la categoría en GeoIP y la propiedad en (todo en minúsculas country ). Al especificar los países, utilice el código de país ISO 3166 de dos letras en letras ASCII mayúsculas; por ejemplo, US o DE. Para obtener una lista completa de los códigos de país, consulte ISO 3166-1 alpha-2.

    En el siguiente ejemplo, el nombre DAE es my-geoip1 y los países interesados son Estados Unidos (EE.UU.) y Gran Bretaña (Gran Bretaña).

  2. Utilice el comando CLI show security dynamic-address para comprobar la configuración. El resultado debe ser similar al siguiente:
  3. Cree la política de firewall de seguridad mediante el comando de la set security policies CLI.

    En el ejemplo siguiente, la directiva es de la zona de no confianza a la zona de confianza, el nombre de la directiva es , la dirección de origen se my-geoip1 crea en el paso 1 y la acción es my-geoip-policydenegar el acceso desde los países enumerados en my-geoip1.

  4. Utilice el comando CLI show security policies para comprobar la configuración. El resultado debe ser similar al siguiente:

Eliminación de direcciones dinámicas basadas en GeoIP para un único código de país

Puede eliminar direcciones dinámicas basadas en GeoIP para un único código de país mediante el siguiente paso:

En el ejemplo siguiente, el nombre DAE es my-geoip1 y los códigos de país que desea eliminar son: Estados Unidos (EE. UU.) y Gran Bretaña (GB).

El paso anterior elimina correctamente el país del perfil sin afectar a las entradas de otros países.

Después de eliminar el código de país, puede confirmar la eliminación mediante el show security dynamic-address comando.

user@host> show security dynamic-address
Nota:

Puede mostrar la salida del comando como elementos de etiqueta XML de Junos si incluye la | display xml opción después del show security dynamic-address summary comando.

A partir de Junos OS versión 23.4R1, hemos introducido una nueva entidad da-summary-dynamic-address-information que aparece varias veces en caso de que haya alguna dirección IP duplicada presente en la configuración. Puede utilizar este resultado de comando para quitar entradas duplicadas.