加固Egress流量 - 地理IP过滤
地理IP过滤提供了一种强大的机制,通过根据IP地址的地理位置限制网络流量,来执行合规要求并减少攻击面。组织通常需要遵守《国际武器交通条例》(ITAR)等法规,这些法规要求阻止流向特定国家的流量。此外,如果我们的业务运营仅限于某些地区,实施仅允许流量到已批准国家的允许列表方法,可以显著减少来自我们没有合法业务需求的地区的威胁暴露。这种纵深防御策略有助于防止数据泄露到未经授权的位置,并阻止来自通常与恶意活动相关的高风险地理区域的连接。
实施地理IP过滤
接下来,让我们添加规则以对网络流量执行地理限制:
-
返回
StatefulRuleGroup并再次选择 Edit。 -
添加以下规则以执行地理IP过滤:
# Block Traffic To/From ITAR Countries
drop ip any any -> any any (msg:"Geographic IP is from ITAR-Restricted Country"; geoip:any,AF,BY,MM,KH,CF,CN,CU,CY,CD,ER,ET,HT,HK,IR,IQ,KG,LB,LY,NI,KP,RU,SO,SS,SD,SY,VE,ZW; sid:10000008;)
# Block Traffic To/From Any Country Besides the US or Canada
drop ip any any -> any any (geoip:any,!US,!CA; msg:"Drop traffic to countries other than US and Canada"; sid:10000009;)
- 点击 Save。
有关这些防火墙规则的说明,请展开以下部分:
# Block Traffic To/From ITAR Countries
drop ip any any -> any any (msg:"Geographic IP is from ITAR-Restricted Country"; geoip:any,AF,BY,MM,KH,CF,CN,CU,CY,CD,ER,ET,HT,HK,IR,IQ,KG,LB,LY,NI,KP,RU,SO,SS,SD,SY,VE,ZW; sid:10000008;)
此规则阻止所有往返于《国际武器交通条例》(ITAR)限制国家的IP流量。geoip:any 关键字匹配任意方向(源或目标)的流量,后跟以逗号分隔的两字母国家代码列表。这通过防止与这些受限国家进行任何网络通信来确保符合ITAR要求,包括阿富汗(AF)、白俄罗斯(BY)、缅甸(MM)、柬埔寨(KH)、中非共和国(CF)、中国(CN)、古巴(CU)、塞浦路斯(CY)、刚果民主共和国(CD)、厄立特里亚(ER)、埃塞俄比亚(ET)、海地(HT)、香港(HK)、伊朗(IR)、伊拉克(IQ)、吉尔吉斯斯坦(KG)、黎巴嫩(LB)、利比亚(LY)、尼加拉瓜(NI)、朝鲜(KP)、俄罗斯(RU)、索马里(SO)、南苏丹(SS)、苏丹(SD)、叙利亚(SY)、委内瑞拉(VE)和津巴布韦(ZW)。
# Block Traffic To/From Any Country Besides the US or Canada
drop ip any any -> any any (geoip:any,!US,!CA; msg:"Drop traffic to countries other than US and Canada"; sid:10000009;)
此规则通过阻止所有IP流量(美国和加拿大除外)来实施允许列表方法。!US,!CA 语法使用否定来指定只允许这两个国家。这比阻止特定国家的安全态势更为严格,因为它默认拒绝所有流量,只允许明确批准的地理位置的流量。当我们的业务运营仅限于特定地区,并且希望通过防止连接到任何其他国家来最小化攻击面时,此方法特别有用。
验证
- 等待约30秒至1分钟,让规则生效
- 返回出口测试脚本URL并再次运行测试
- 验证地理IP过滤测试现在已被阻止
