Географическая привязка IP-адресов (GeoIP)

Правила фильтрации на основе геолокации позволяют пропускать или ограничивать трафик на основе местонахождения отправителя или получателя.

Система использует базу данных геолокации, которая содержит сопоставление IP-адресов каждому континенту и стране. В процессе обработки пакета, система анализирует IP-адрес в заголовке пакета и сопоставляет его с базой данных геолокации. База данных включает набор континентов и стран, соответствующий таблице.

Набор континентов и стран

Континенты

Страны

Africa

Algeria, Angola, Benin, Botswana, Burkina Faso, Burundi, Cabo Verde, Cameroon, Central Africa Republic, Chad, Comoros, Congo Republic, Djibouti, DR Congo, Egypt, Equatorial Guinea, Eritrea, Eswatini, Ethiopia, Gabon, Gambia, Ghana, Bissau, Guinea, Ivory Coast, Kenya, Lesotho, Liberia, Libya, Madagascar, Malawi, Mali, Mauritania, Mauritius, Mayotte, Morocco, Mozambique, Namibia, Nigeria, Niger, Reunion, Rwanda, Sao Tome and Principe, Senegal, Seychelles, Sierra Leone, Somalia, South Africa, South Sudan, Sudan, Tanzania, Togo, Tunisia, Uganda, Zambia, Zimbabwe.

Asia

Afghanistan, Armenia, Azerbaijan, Bahrain, Bangladesh, Bhutan, Brunei, Cambodia, China, Georgia, Hong Kong, India, Indonesia, Iran, Iraq, Israel, Japan, Jordan, Kazakhstan, Kuwait, Kyrgyzstan, Laos, Lebanon, Macao, Malaysia, Maldives, Mongolia, Myanmar, Nepal, North Korea, Oman, Pakistan, Palestine, Philippines, Qatar, Saudi Arabia, Singapore, South Korea, Sri Lanka, Syria, Taiwan, Tajikistan, Thailand, Turkey, Turkmenistan, United Arab Emirates, Uzbekistan, Vietnam, Yemen.

Europe

Aland, Albania, Andorra, Austria, Belarus, Belgium, Bosnia and Herzegovina, Bulgaria, Croatia, Cyprus, Czechia, Denmark, Estonia, Faroe Islands, Finland, France, Germany, Gibraltar, Greece, Guernsey, Hungary, Iceland, Ireland, Isle of Man, Italy, Jersey, Latvia, Liechtenstein, Lithuania, Luxembourg, Malta, Moldova, Monaco, Montenegro, Netherlands, North Macedonia, Norway, Poland, Portugal, Romania, Russia, San Marino, Serbia, Slovakia, Slovenia, Spain, Sweden, Switzerland, Ukraine, United Kingdom, Vatican City.

North_America

Antigua and Barbuda, Aruba, Bahamas, Barbados, Belize, Bermuda, Bonaire Sint Eustatius and Saba, British Virgin Islands, Canada, Cayman Islands, Costa Rica, Cuba, Curacao, Dominica, Dominican Republic, El Salvador, Greenland, Grenada, Guadeloupe.

Oceania

Cook Islands, East Timor, Federated States of Micronesia, Fiji, French Polynesia, Guam, Kiribati, Marshall Islands, Nauru, New Caledonia, New Zealand, Niue, Norfolk Islands, Northern Mariana Islands, Palau, Papua New Guinea, Samoa, Solomon Islands, Tokelau, Tonga, Tuvalu, Vanuatu, Wallis and Futuna.

South_America

Argentina, Bolivia, Brazil, Chile, Colombia, Ecuador, Falkland Islands, French Guiana, Guyana, Paraguay, Peru, Suriname, Uruguay, Venezuela.

Фильтрация трафика на основе геолокации регулируется параметрами заданного правила фильтрации и подключенного к нему Псевдонима с базой данных IP-адресов континентов и стран. Псевдонимы — это именованные списки сетей, хостов или портов, которые можно использовать как единое целое в правилах фильтрации и перенаправления (NAT). Псевдонимы позволяют более гибко настроить правила фильтрации, сокращая их количество.

Фильтрация на основе геолокации возможна в модулях:

  • Межсетевой экран - Правила фильтрации

  • Межсетевой экран - NAT

  • Межсетевой экран - GeoIP

Настройка Псевдонима GeoIP для фильтрации на основе геолокации

Для настройки правил фильтрации и перенаправления (NAT) на основе геолокации используются Псевдонимы.

Настройка Псевдонимов производится в разделе Межсетевой экран - Псевдонимы. Параметр Тип – GeoIP относится к геолокации.

../../../../_images/geoip1.png

Псевдоним GeoIP

В параметрах Псевдонима GeoIP необходимо указать Имя и задать любое количество континентов или стран.

Настройка правил фильтрации с геолокацией

Псевдоним можно применить в любом правиле фильтрации и перенаправления (NAT) в параметрах Отправитель/Получатель. В данном случае система будет производить анализ пакета, сопоставляя значения в заголовке с базой данных геолокации заданного псевдонима.

../../../../_images/geoip2.png

Применение Псевдонима в параметре Получатель правила фильтрации

Важно

При увеличении количества правил фильтрации с псевдонимами геолокации, производительность системы будет снижаться

Пример настройки правила фильтрации на основе геолокации континента Africa и South_America

Предположим, что необходимо запретить прохождение трафика, инициированного хостами с Африканского континента, а весь трафик с континента Южной Америки разрешить.

Произведем настройку двух Псевдонимов, каждый из которых будет включать по континенту:

  1. Перейти в раздел Межсетевой экран - Псевдонимы и добавить два псевдонима GeoIP.

  2. Задать имя каждому Псевдониму и Локацию (1-й Africa, 2-й South_America).

../../../../_images/geoip3.png

Два псевдонима GeoIP

  1. Создать два правила фильтрации в соответствии с примером и присвоить каждому правилу соответствующий псевдоним. Т.к. пакет инициируется отправителем, псевдоним необходимо применить к параметру Отправитель правила фильтрации.

../../../../_images/geoip4.png

Два правила фильтрации с примененными Псевдонимами

Настройка правил перенаправления (NAT) с геолокацией

Система позволяет применять Псевдонимы геолокации в правилах перенаправления (NAT).

Процесс применения аналогичен правилам фильтрации. При применении псевдонима геолокации, например, в параметре Отправитель правила перенаправления (NAT), система будет производить преобразования адреса (NAT) в тех пакетах, IP-адрес которых сопоставляется с базой данных псевдонима.

Пример настройки правила перенаправления (NAT) на основе геолокации континента Africa и South_America

Предположим, что необходимо механизмом DNAT произвести перенаправление трафика, инициированный хостами с Африканского континента.

../../../../_images/geoip5.png

Конфигурация правила перенаправления (NAT) с геолокацией

При данной конфигурации все пакеты с IP-адресом отправителя, которые сопоставляются с Псевдонимом Africa, будут перенаправляться на IP-адрес 20.0.0.3 вне зависимости от IP-адреса получателя.

Фильтрация в специализированном модуле Межсетевой экран - GeoIP

В системе так же предусмотрена фильтрация по географическому признаку в рамках отдельного модуля. Такая фильтрация производится в разделе Межсетевой экран - GeoIP и является более высокопроизводительной по сравнению с обычными правилами фильтрации. Правила, созданные в этом модуле будет обработаны первыми (до правил NAT). При этом, список интерфейсов, на которых будет прослушиваться входящий трафик задаётся для всех правил сразу, а не для конкретного правила.

Конфигурация модуля Межсетевой экран - GeoIP включает следующие параметры:

Параметры GeoIP

Название параметра

Описание

Включен

Включить данное правило.

Псевдоним

Выбрать географический Псевдоним, который был предварительно сконфигурирован в разделе Псевдонимы с типом GeoIP.

L4 Протокол

Позволяет задавать L4 Протокол как дополнительный атрибут фильтрации.

L4 Port

Позволяет задавать L4 Порт как дополнительный атрибут фильтрации.

Политика

Задать действие, совершаемое при совпадении условий: Принимать или Отбрасывать.

Описание

Пользовательское описание правила.

Пример настройки модуля Межсетевой экран - GeoIP на основе геолокации континента Africa

Например, мы хотим ограничить доступ к устройству с Африканского конинента. Для этого сперва необходимо добавить GeoIP-псевдоним в разделе Межсетевой экран - Псевдонимы:

../../../../_images/geoip6.png

Затем перейти в раздел Межсетевой экран - GeoIP и добавить правило:

../../../../_images/geoip7.png

После чего выбрать интерфейсы, к которым будет применяться ограничение и Применить настройки:

../../../../_images/geoip8.png