国に基づいてトラフィックをブロックする方法
297901
Created On 09/25/18 19:38 PM - Last Modified 04/19/24 19:24 PM
Symptom
- パロアルトネットワークスで国全体に向かう、または源泉で送信されるトラフィックをブロックすることが可能です firewall 。
- これは、 PAN-OS IP 内部データベースを調査することによってパブリック アドレスからリージョンへのマッピングを実行するという事実に基づいて動作します。
- この情報は、コンテンツの更新によって毎週更新され、 firewall データベース内で維持されます。
Environment
- PAN-OS 8.1 以上
- パロ ・ アルトのネットワーク Firewall
- Policy地理的位置に基づくセキュリティ
Resolution
- 移動 GUI : セキュリティ>ポリシー>[ ソース]フィールドまたは[リンク先]フィールドで >[追加]をクリックして、[追加]をクリックします 。 [アドレス] セクションに [アドレス]、[アドレスグループ]、および[地域] のオプションが表示されます。
- 例に示すように、[地域] を選択します。 この例では、宛先アドレスです。
- 今下図のように、世界と対応する地域コードのすべての国を見ることが可能です。
- ブロックする国を選択してください、下の例は中国 CN ():
- ユーザーは、[ IP 追加] ボタンをクリックして、国の特定のパブリック アドレスを指定することもできます。 次のように先の国今呼び出されます。
- 最終的に構成されたセキュリティ policy は、次のスクリーンショットのようになります。 この設定は、リージョンが、送信元または宛先で呼び出された場所に基づいて、その国に発信または宛先のすべてのトラフィック Policy をブロックします。
- GUI次に示すように、 :オブジェクト >領域でリージョンを作成することもできます。
- 新しいリージョンは、トラフィックマップと脅威マップの作成に使用できる GeoLocation 機能を使用して作成することもできます。 これは、領域の正確な座標を指定することによって行うことができます。
地域などの一部の EU 地域は、完全にすべての国を含んでいない EU 、これらの国は、地域と連携して追加する必要があります。
注: リージョンベースのブロックは、現在 IPV4 アドレスに対してのみ機能します。
Additional Information
セキュリティで使用できない領域オブジェクト Policy