Географическая привязка IP-адресов (GeoIP)

Настройка правил фильтрации и перенаправления (NAT) на основе геолокации

Общее описание фильтрации на основе геолокации

Правила фильтрации на основе геолокации позволяют пропускать или ограничивать трафик на основе местонахождения отправителя или получателя.

Система использует базу данных геолокации, которая содержит сопоставление IP-адресов каждому континенту и стране. В процессе обработки пакета, система анализирует IP-адрес в заголовке пакета и сопоставляет его с базой данных геолокации. База данных включает набор континентов и стран, соответствующий таблице.

Набор континентов и стран

Континенты

Страны

Africa

Algeria, Angola, Benin, Botswana, Burkina Faso, Burundi, Cabo Verde, Cameroon, Central Africa Republic, Chad, Comoros, Congo Republic, Djibouti, DR Congo, Egypt, Equatorial Guinea, Eritrea, Eswatini, Ethiopia, Gabon, Gambia, Ghana, Bissau, Guinea, Ivory Coast, Kenya, Lesotho, Liberia, Libya, Madagascar, Malawi, Mali, Mauritania, Mauritius, Mayotte, Morocco, Mozambique, Namibia, Nigeria, Niger, Reunion, Rwanda, Sao Tome and Principe, Senegal, Seychelles, Sierra Leone, Somalia, South Africa, South Sudan, Sudan, Tanzania, Togo, Tunisia, Uganda, Zambia, Zimbabwe.

Asia

Afghanistan, Armenia, Azerbaijan, Bahrain, Bangladesh, Bhutan, Brunei, Cambodia, China, Georgia, Hong Kong, India, Indonesia, Iran, Iraq, Israel, Japan, Jordan, Kazakhstan, Kuwait, Kyrgyzstan, Laos, Lebanon, Macao, Malaysia, Maldives, Mongolia, Myanmar, Nepal, North Korea, Oman, Pakistan, Palestine, Philippines, Qatar, Saudi Arabia, Singapore, South Korea, Sri Lanka, Syria, Taiwan, Tajikistan, Thailand, Turkey, Turkmenistan, United Arab Emirates, Uzbekistan, Vietnam, Yemen.

Europe

Aland, Albania, Andorra, Austria, Belarus, Belgium, Bosnia and Herzegovina, Bulgaria, Croatia, Cyprus, Czechia, Denmark, Estonia, Faroe Islands, Finland, France, Germany, Gibraltar, Greece, Guernsey, Hungary, Iceland, Ireland, Isle of Man, Italy, Jersey, Latvia, Liechtenstein, Lithuania, Luxembourg, Malta, Moldova, Monaco, Montenegro, Netherlands, North Macedonia, Norway, Poland, Portugal, Romania, Russia, San Marino, Serbia, Slovakia, Slovenia, Spain, Sweden, Switzerland, Ukraine, United Kingdom, Vatican City.

North_America

Antigua and Barbuda, Aruba, Bahamas, Barbados, Belize, Bermuda, Bonaire Sint Eustatius and Saba, British Virgin Islands, Canada, Cayman Islands, Costa Rica, Cuba, Curacao, Dominica, Dominican Republic, El Salvador, Greenland, Grenada, Guadeloupe.

Oceania

Cook Islands, East Timor, Federated States of Micronesia, Fiji, French Polynesia, Guam, Kiribati, Marshall Islands, Nauru, New Caledonia, New Zealand, Niue, Norfolk Islands, Northern Mariana Islands, Palau, Papua New Guinea, Samoa, Solomon Islands, Tokelau, Tonga, Tuvalu, Vanuatu, Wallis and Futuna.

South_America

Argentina, Bolivia, Brazil, Chile, Colombia, Ecuador, Falkland Islands, French Guiana, Guyana, Paraguay, Peru, Suriname, Uruguay, Venezuela.

Фильтрация трафика на основе геолокации регулируется параметрами заданного правила фильтрации и подключенного к нему Псевдонима с базой данных IP-адресов континентов и стран. Псевдонимы — это именованные списки сетей, хостов или портов, которые можно использовать как единое целое в правилах фильтрации и перенаправления (NAT). Псевдонимы позволяют более гибко настроить правила фильтрации, сокращая их количество.

Настройка правил фильтрации с геолокацией

Для настройки правил фильтрации и перенаправления (NAT) на основе геолокации используются Псевдонимы.

Настройка Псевдонимов производится в разделе Межсетевой экран - Псевдонимы. Параметр Тип – GeoIP относится к геолокации.

../../../../_images/one7.png

Псевдоним GeoIP

В параметрах Псевдонима GeoIP необходимо указать Имя и задать любое количество континентов или стран.

Псевдоним можно применить в любом правиле фильтрации и перенаправления (NAT) в параметрах Отправитель/Получатель. В данном случае система будет производить анализ пакета, сопоставляя значения в заголовке с базой данных геолокации заданного псевдонима.

../../../../_images/two8.png

Применение Псевдонима в параметре Получатель правила фильтрации

Важно

При увеличении количества правил фильтрации с псевдонимами геолокации, производительность системы будет снижаться

Пример настройки правила фильтрации на основе геолокации континента Africa и South_America

Предположим, что необходимо запретить прохождение трафика, инициированного хостами с Африканского континента, а весь трафик с континента Южной Америки разрешить.

Произведем настройку двух Псевдонимов, каждый из которых будет включать по континенту:

  1. Перейти в раздел Межсетевой экран - Псевдонимы и добавить два псевдонима GeoIP.

  2. Задать имя каждому Псевдониму и Локацию (1-й Africa, 2-й South_America).

../../../../_images/tri5.png

Два псевдонима GeoIP

  1. Создать два правила фильтрации в соответствии с примером и присвоить каждому правилу соответствующий псевдоним. Т.к. пакет инициируется отправителем, псевдоним необходимо применить к параметру Отправитель правила фильтрации.

../../../../_images/four7.png

Два правила фильтрации с примененными Псевдонимами

Настройка правил перенаправления (NAT) с геолокацией

Система позволяет применять Псевдонимы геолокации в правилах перенаправления (NAT).

Процесс применения аналогичен правилам фильтрации. При применении псевдонима геолокации, например, в параметре Отправитель правила перенаправления (NAT), система будет производить преобразования адреса (NAT) в тех пакетах, IP-адрес которых сопоставляется с базой данных псевдонима.

Пример настройки правила перенаправления (NAT) на основе геолокации континента Africa и South_America.

Предположим, что необходимо механизмом DNAT произвести перенаправление трафика, инициированный хостами с Африканского континента.

../../../../_images/five5.png

Конфигурация правила перенаправления (NAT) с геолокацией

При данной конфигурации все пакеты с IP-адресом отправителя, которые сопоставляются с Псевдонимом Africa, будут перенаправляться на IP-адрес 20.0.0.3 вне зависимости от IP-адреса получателя.