Configure la serie SRX y la IP de geolocalización para la integración con el dispositivo ATP
La geolocalización basada en IP (GeoIP) es una asignación de una dirección IP a la ubicación geográfica de un Internet conectado a un dispositivo informático. ATP Appliance es compatible con GeoIP, lo que le permite filtrar el tráfico hacia y desde geografías específicas del mundo.
GeoIP utiliza una infraestructura de entrada dinámica de direcciones (DAE). Un DAE es un grupo de direcciones IP, no un solo prefijo IP. Estas direcciones IP son para dominios específicos o para entidades que tienen un atributo común, como una ubicación no deseada particular que representa una amenaza. A continuación, el administrador puede configurar políticas de seguridad para utilizar el DAE dentro de una política de seguridad. Cuando se actualiza el DAE, los cambios pasan a formar parte automáticamente de la política de seguridad. No es necesario actualizar la directiva manualmente.
La URL de la fuente se configura automáticamente cuando ejecuta el script para inscribir el firewall de la serie SRX. Actualmente, la configuración de GeoIP y las políticas de seguridad se realiza completamente en el firewall de la serie SRX mediante comandos de CLI.
Para crear el DAE GeoIP y la política de firewall de seguridad:
- Cree el DAE mediante el comando de la
set security dynamic-address
CLI. Establezca la categoría enGeoIP
y la propiedad en (todo en minúsculascountry
). Al especificar los países, utilice el código de país ISO 3166 de dos letras en letras ASCII mayúsculas; por ejemplo, US o DE. Para obtener una lista completa de los códigos de país, consulte ISO 3166-1 alpha-2.En el siguiente ejemplo, el nombre DAE es
my-geoip1
y los países interesados son Estados Unidos (EE.UU.) y Gran Bretaña (Gran Bretaña).user@host# set security dynamic-address address-name my-geoip1 profile category GeoIP property country string US user@host# set security dynamic-address address-name my-geoip1 profile category GeoIP property country string GB user@host# set security dynamic-address address-name my-geoip1 profile category GeoIP property country string AU
- Utilice el comando CLI
show security dynamic-address
para comprobar la configuración. El resultado debe ser similar al siguiente:user@host# show security dynamic-address address-name my-geoip1 { profile { category GeoIP { property country { string US; string GB; string AU; } } } } [edit]
- Cree la política de firewall de seguridad mediante el comando de la
set security policies
CLI.En el ejemplo siguiente, la directiva es de la zona de no confianza a la zona de confianza, el nombre de la directiva es , la dirección de origen se
my-geoip1
crea en el paso 1 y la acción esmy-geoip-policy
denegar el acceso desde los países enumerados enmy-geoip1
.user@host# set security policies from-zone untrust to-zone trust policy my-geoip-policy match source-address my-geoip destination-address any application any user@host# set security policies from-zone untrust to-zone trust policy my-geoip-policy then deny
- Utilice el comando CLI
show security policies
para comprobar la configuración. El resultado debe ser similar al siguiente:user@host# show security policies ... from-zone untrust to-zone trust { policy my-geoip-policy { match { source-address my-geoip; destination-address any; application any; } then { deny; } } } ...
Eliminación de direcciones dinámicas basadas en GeoIP para un único código de país
Puede eliminar direcciones dinámicas basadas en GeoIP para un único código de país mediante el siguiente paso:
user@host# delete security dynamic-address address-name address-name profile category GeoIP property country string CA
En el ejemplo siguiente, el nombre DAE es my-geoip1
y los códigos de país que desea eliminar son: Estados Unidos (EE. UU.) y Gran Bretaña (GB).
user@host# delete security dynamic-address address-name my-geoip1 profile category GeoIP property country string US user@host# delete security dynamic-address address-name my-geoip1 profile category GeoIP property country string GB
El paso anterior elimina correctamente el país del perfil sin afectar a las entradas de otros países.
Después de eliminar el código de país, puede confirmar la eliminación mediante el show security dynamic-address
comando.
user@host> show security dynamic-address
node0: -------------------------------------------------------------------------- Instance default Total number of matching entries: 0 No. IP-start IP-end Feed Address CountryCode 1 1.0.0.0 1.0.0.255 geoip_country my-geoip1 AU 2 1.0.0.0 1.0.0.255 geoip_country my-geoip2 CN
Puede mostrar la salida del comando como elementos de etiqueta XML de Junos si incluye la | display xml
opción después del show security dynamic-address summary
comando.
da-summary-dynamic-address-information
que aparece varias veces en caso de que haya alguna dirección IP duplicada presente en la configuración. Puede utilizar este resultado de comando para quitar entradas duplicadas.
user@host> show security dynamic-address summary | display xml <rpc-reply xmlns:junos="http://"> <security-dynamic-address> <security-dynamic-address-summary> <da-summary-sscan> <da-sscan-status>Disable</da-sscan-status> <da-sscan-hold-interval>10 seconds</da-sscan-hold-interval> </da-summary-sscan> <da-summary-server> </da-summary-server> <da-summary-dynamic-address> <da-summary-dynamic-address-information> </da-summary-dynamic-address-information> <da-summary-dynamic-address-information> </da-summary-dynamic-address-information> </da-summary-dynamic-address> <da-summary-dynamic-address-total> <da-instance-name>default</da-instance-name> <da-cnt-total-v4>0</da-cnt-total-v4> <da-cnt-total-feed-v4>0</da-cnt-total-feed-v4> <da-cnt-total-v6>0</da-cnt-total-v6> <da-cnt-total-feed-v6>0</da-cnt-total-feed-v6> </da-summary-dynamic-address-total> <da-summary-dynamic-address> <da-summary-dynamic-address-information> <da-name>geoip1</da-name> <da-id>11</da-id> <da-entry-cnt-v4>39</da-entry-cnt-v4> <da-entry-cnt-v6>56</da-entry-cnt-v6> <da-sscan-entry-status>Disable</da-sscan-entry-status> <da-mapping-feed> </da-mapping-feed> <da-rule> <da-category-name>GeoIP</da-category-name> <da-category-feed>---</da-category-feed> </da-rule> <da-property> <da-property-name>country</da-property-name> <da-property-value>KP</da-property-value> </da-property> </da-summary-dynamic-address-information> <da-summary-dynamic-address-information> <da-name>geoip2</da-name> <da-id>12</da-id> <da-entry-cnt-v4>88</da-entry-cnt-v4> <da-entry-cnt-v6>38</da-entry-cnt-v6> <da-sscan-entry-status>Disable</da-sscan-entry-status> <da-mapping-feed> </da-mapping-feed> <da-rule> <da-category-name>GeoIP</da-category-name> <da-category-feed>---</da-category-feed> </da-rule> <da-property> <da-property-name>country</da-property-name> <da-property-value>VC</da-property-value> </da-property> </da-summary-dynamic-address-information> </da-summary-dynamic-address> <da-summary-dynamic-address-total> <da-instance-name>geoip</da-instance-name> <da-cnt-total-v4>127</da-cnt-total-v4> <da-cnt-total-v6>94</da-cnt-total-v6> </da-summary-dynamic-address-total> </security-dynamic-address-summary> <security-dynamic-address-summary> <da-summary-dynamic-address-total> <da-instance-name>advanced-anti-malware</da-instance-name> <da-cnt-total-v4>0</da-cnt-total-v4> <da-cnt-total-v6>0</da-cnt-total-v6> </da-summary-dynamic-address-total> </security-dynamic-address-summary> </security-dynamic-address>