国に基づいてトラフィックをブロックする方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

How to Block Traffic Based Upon Countries

https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Block-Traffic-Based-Upon-Countries/t...

 

詳細

Palo Alto Networks ファイアウォールでは、宛先あるいは送信元となる国全体のトラフィックをブロックすることが可能です。この機能は、PAN-OS が内部データベースからグローバル IP アドレスと地域のマッピングを取得することによって動作しています。この情報は毎週実行される content アップデートによって更新され、ファイアウォールはそのデータベースを維持しています。

 

手順

  1. Policies > セキュリティ > 追加をクリック > 送信元、宛先フィールドを選択 > 追加をクリックします。
    アドレス、アドレスグループ、及び地域の3つの選択オプションがあります。
  2. 以下のように、「地域」を選択します。
    2.JPG
  3. すべての国と、対応する地域コードが以下のとおり確認できます。
    3.JPG
  4. ブロックする国を選択します。ここでは China (CN )を例にしています。
    4.JPG
  5. ユーザーは「追加」をクリックして、国の中から特定のパブリック IP アドレスを指定することが出来ます。その国は以下のように宛先に追加されます。
    5.JPG
  6. 最終的にセキュリティ ポリシーは以下のように表示されます。このコンフィグレーションでは、ポリシーで設定された国に基づいて、その国が送信元、あるいは宛先となるトラフィックすべてがブロックされます。
    6.JPG
  7. Object > 地域をクリックし、以下のように地域のオブジェクトを作成することも可能です。
    1.JPG
  8. 新しい地域は、トラフィックと脅威マップの作成にも利用される「Geo Location」を指定して作成することも出来ます。これはその地域の正確な座標を指定することによって可能です。
    7.JPG

注:EU のような幾つかの地域は、すべての EU の国が含まれていないことがあります。これらの国は、地域と一緒に追加する必要があります。

 

参照

Region Object Not Working in Security Policy

 

 

著者: dantony