BIG-IPは、どの地域でどのIPアドレスが使われているのかを示すデータベースを持っています。
このデータベースを利用することで、ログに地理情報を表示することができ、また、ある特定地域の通信だけを止め る、ということも可能です。以下にその方法を示します。
10.1. ログに地域情報を表示
デフォルトでは、出力されたログのRegionが以下のように「No-lookup」となっています。
ここに地域情報が出力されるように設定します。
(1)
global-networkまず、Global ACLでヒットしたログに地域情報を付加する方法を示します。
コマンドラインでの設定が必要です。
コンソール接続またはSSHにてBIG-IPにログインし、以下のコマンドを実行します。
[root@big208:Active:In Sync] config # tmsh
root@(big208)(cfg-sync Standalone)(Active)(/Common)(tmos)# modify security log profile global-network { network modify { all { filter { log-geo-always enabled }}}}
以下のコマンドで状態を確認できます。
root@(big208)(cfg-sync Standalone)(Active)(/Common)(tmos)# list security log profile global-network all-properties
security log profile global-network {
description "Default logging profile for network events"
network {
global-network { filter {
log-acl-match-accept enabled log-acl-match-drop enabled log-acl-match-reject enabled log-geo-always enabled log-ip-errors enabled log-tcp-errors enabled log-tcp-events enabled
log-translation-fields enabled }
~略~
(2)
Logging-profile次に、設定したLogging-profileにも、同様の設定を行います。
以下のコマンドを実行します。
root@(big208)(cfg-sync Standalone)(Active)(/Common)(tmos)#cd /RD1-Partition
root@(big208)(cfg-sync Standalone)(Active)(/RD1-Partition)(tmos)# modify security log profile Logging-profile { network modify { all { filter { log-geo-always enabled }}}}
root@(big208)(cfg-sync Standalone)(Active)(/RD1-Partition)(tmos)# save sys config 以下のコマンドで状態を確認できます。
root@(big208)(cfg-sync Standalone)(Active)(/RD1-Partition)(tmos)# list security log profile Logging-profile all-properties
security log profile Logging-profile { ip-intelligence {
log-publisher /Common/Logging-Publisher }
network {
Logging-profile { filter {
log-acl-match-accept enabled log-acl-match-drop enabled log-acl-match-reject enabled log-geo-always enabled log-ip-errors enabled log-tcp-errors enabled log-tcp-events enabled
log-translation-fields enabled }
~略~
(3)
これで、ログ上に地域情報が表示されるようになります。(プライベートIPアドレスはUnknown表示となります。)
10.2. 特定地域をフィルタリング
ある特定地域、例えば東京への通信だけを止める、ということも可能です。その方法を以下に示します。
(1)
Address-listの作成「Main」メニュー → 「Security」→「Network Firewall」→「Address Lists」で表示された画面の右上にある「Create」 ボタンを押し、現れた画面で以下のように設定します。
(2)
Tokyoへの通信を止めるルールオフィスからインターネットへの通信で、Tokyo宛だけを止めるルールを作ってみます。
「Main」メニュー → 「Security」→「Network Firewall」→「Active Rules」で表示された画面の右上にある「Add」ボタ ンを押し、以下のように設定します。
Country/Regionにチェックを入れて、
Japan(JP)を選択。
State:でTokyoを選択し、
「Add」ボタンを押す。
名前(任意)を指定。
名前(任意)を指定。
Address/Regionで「Specify…」を選択。
Address Listにチェックを入れて、
作成したAddress Listを入力。
「Add」ボタンを押す。
ロギングを有効にする。
「Virtual Server…」を選択し、該当VSを選ぶ。
Rejectを選択。
Firstを選択。
(3)
以下の状態になります。(4)
オフィスから東京宛ての通信を実施します。以下のように、オフィスからJP/Tokyo宛の通信はRejectされます。