多くの組織は特定の国、特定のビジネスパートナー、または特定のネットワークブロックからプロダクショントラフィックを受信します。しかし攻撃トラフィックは世界各地、ホスティングプロバイダー、住宅用プロキシネットワーク、または悪用されたASNから発生することがあります。IPアドレスのみや単純なブロックリストだけで判断することは、このコンテキストを完全に無視します。
国ベースのアクセス制御は、政府、金融、医療、地域向けアプリケーションで特に重要です。サービスが特定の国のユーザー向けにのみ設計されている場合、世界中に開放しておくことは不必要な攻撃面を生み出します。しかしその制御を外部GeoIPサービスに結びつけることは、レイテンシとデータ依存リスクの両方をもたらします。
ASN情報も同様に重要です。同じ国の住宅ユーザーからのトラフィックと、大規模ホスティングネットワーク、自動化インフラ、または悪用されたプロバイダーからのトラフィックは同じリスクを持ちません。地理的位置だけを見ることで攻撃面は狭まりますが、ASNコンテキストなしではソースタイプの理解が不完全なままです。
マルチテナントおよび名前空間で分割されたデプロイメントでは問題が複合します。各テナントが同じ国ポリシーを適用しないかもしれません。あるテナントは特定の国からのアクセスのみを希望し、別のテナントは欧州と特定のパートナーネットワークを許可するかもしれません。これにより国セットを名前空間ごとに別々に準備し、不要なセットをロードしないことが必要です。
TR7 Geo/ASNアクセス制御は、ローカルGeoIPデータベースファイル、名前空間ベースの国ipset同期、IPv4/IPv6セット、L7 GeoIP可視性、WAAPログエンリッチメントを使用して、IPアドレスを実行可能なアクセス判断コンテキストへと変換します。
TR7は外部クエリサービスへの依存なしに、ローカルデータベースと階層型ポリシー適用を使用してGeoIPとASN判断を管理します。
GeoLite2 Country、City、ASNデータベースはTR7の`/geoDB`下に保存されます。国、都市、ASNルックアップはデバイス上で行われ、判断時に外部インターネットサービスは不要です。
国ベースのファイアウォールルールはIPv4とIPv6のipset構造を通じて適用されます。特定の国セットは名前空間ごとに準備され、トラフィックを最も早いトラフィック層でdrop、reject、またはlogの判断に結びつけられます。
同一プラットフォーム上の異なるvServiceは異なる国・ASNリスクポリシーで動作できます。各サービスの要件に基づいて、国ホワイトリスト、ブラックリスト、CAPTCHA、レート制限、WAAPログエンリッチメントを組み合わせられます。
すべての国セットをすべての名前空間に盲目的にロードするのではなく、TR7はアクティブなルールで参照される国のみを準備します。これによりRAM使用量、準備時間、不要なipsetオーバーヘッドを削減します。
Geo/ASNアクセス制御は、ローカルルックアップ、ipsetベースの国ポリシー、キャッシング、名前空間分離、WAAP可視性を単一の統合レイヤーで組み合わせます。
TR7はクライアントIPアドレスに対して2文字のISO 3166-1国コード、geoname_id、大陸情報を生成できます。このデータはL3/L4アクセス判断とL7ログエンリッチメントの両方で使用できます。例えば、特定の国からのトラフィックのみを許可したり、高リスク国グループに対してより厳格なポリシーを適用したりできます。ルックアップはローカルMMDBファイルに対して実行されるため、外部サービスへの依存はありません。
CityデータベースはIPアドレスに都市名とgeoname_idコンテキストを追加します。都市情報は直接的なファイアウォール判断よりも分析、レポート、インシデント調査側で最も価値があります。WAAPイベントは攻撃の国・都市分布をより意味のある方法で表示できます。このコンテキストはセキュリティチームが攻撃波の地理的プロファイルをより迅速に理解するのに役立ちます。
ASNルックアップはIPアドレスの自律システム番号、組織名、ネットワークCIDRを返します。このデータはトラフィックが住宅用ネットワーク、ホスティングプロバイダー、またはエンタープライズネットワークからのものかを判断するのに役立ちます。ASN情報はWAAPログとライブ監視ダッシュボード内のリスク分析に使用できます。
RFC1918、ループバック、ローカルアドレスは自動的にプライベートカテゴリに分類できます。TR7はそのようなソースを`XX`などのローカルラベルで報告できます。未マッチまたは不明アドレスは`--`ラベルで表示できます。この分離により内部ネットワークトラフィックが実際の外部ソーストラフィックと混合することを防ぎます。監査レポートでは不明、ローカル、実際の国コードが明確に区別されます。
スマートな名前空間ごと同期は、各名前空間の関連ファイアウォールルールで参照される国セットのみを構築します。例えば、テナントがTR、DE、USのルールのみを使用する場合、それらのセットのみが準備されます。このアプローチにより、250+カ国のデータをすべての名前空間にロードする必要がなくなります。マルチテナントデプロイメントではメモリ消費、準備時間、運用の複雑さがすべて低下します。
各国ごとにIPv4とIPv6セットは別々だが協調した構造として扱われます。これによりIPv4トラフィックのみを制御しIPv6パスを開放したままにするエラーを防ぎます。国ルールが定義されると、関連するv4とv6スコープが一緒に考慮されます。現代のデュアルスタックネットワークでは完全なアクセス制御にこの区別が重要です。
TR7は頻繁に見られるIPアドレスに対して10,000キー容量と600秒TTLのキャッシュプロファイルを使用できます。ホットIPはリクエストごとにMMDBルックアップに戻ることなく提供されます。これは同じ顧客ネットワークからの大量トラフィックのレイテンシ削減に特に有用です。キャッシュはローカルで動作するため、外部クエリ料金やインターネットアクセスは不要です。
GeoIPルックアップはファイアウォールdrop判断に限定されません。国・都市情報はWAAPイベントログにも追加できます。攻撃国の集計、イベントトレンド、SIEMレポートはすべてこのエンリッチメントから提供されます。セキュリティチームはどの国がどの攻撃タイプのソースであるかをより簡単に確認できます。この可視性は証拠ベースのポリシー調整を支援します。
国ipsetデータは`/geoDB/countries.ipset`などのローカルファイルから解析・準備できます。レピュテーションやブラックリストセットも別のファイルパスで管理できます。この設計により、インターネットアクセスが制限または遮断された環境でもアクセス制御が機能します。更新サイクルは組織自身のメンテナンスウィンドウに合わせて計画できます。
クラスターデプロイメントでは、ipsetと関連GeoIPデータをパッシブノードに転送する必要があります。TR7は国セットと変更をパッシブ側に同期する運用モデルをサポートします。フェイルオーバーが発生すると、新たにアクティブになったノードは同じ国ポリシーでトラフィックの提供を継続します。GeoIPアクセス制御はそのため単一ノードの動作に依存しません。
Geo/ASNアクセス制御は、GeoIPリーダーモデル、キャッシュプロファイル、ipsetファイル管理、バックグラウンドリストア、必要セット抽出、フォースモード更新とともに運用されます。
TR7は国、都市、ASNルックアップにプレフィックス長サポート付きGeoIP MMDBリーダーを使用します。プレフィックス長を考慮したルックアップによりIPアドレスがどのネットワークブロックに属するかを決定します。このモデルはIPv4とIPv6アドレスの両方で機能します。
キャッシュプロファイルは10,000キー容量、600秒の標準TTL、120秒のチェック期間で動作できます。不必要なオブジェクトクローニングオーバーヘッドが排除されます。この設定は重量、繰り返しのIPルックアップ負荷下で高速レスポンスを提供します。
国セットは`/geoDB/countries.ipset`から管理でき、ブラックリストセットは別のブラックリストファイルから管理されます。両方のファイルはローカルなので、デバイス外クエリは不要です。更新とロールバック操作はファイル管理とリストアプロセスで計画されます。
ipsetの充填プロセスはバックグラウンドで実行されるため、UIフローが不必要にブロックされません。バッチ処理がセットを制御された方法で準備します。大きな国セットの場合、このアプローチにより管理エクスペリエンスが著しく改善されます。
ファイアウォールルールと名前空間セキュリティマップを検査して、名前空間ごとにどの国セットが必要かを決定します。スマート同期はこの導出リストに対して動作します。結果として、未使用の国セットは関連する名前空間にロードされません。
フォースモードが有効な場合、キャッシュを参照せずに解析とプッシュ操作が再実行されます。このモードはGeoIPデータ更新、ルール変更、またはセット不整合の疑いがある場合に即時更新が必要な場面で有用です。通常運用ではキャッシュとスマート同期を使用して不必要な再ロードを避けます。
銀行は特定の国からのトラフィックのみを許可することができます。TR7は残りの国を早期レイヤーのdropまたはreject判断に国ipsetを使用して結びつけます。ローミングや例外対応が必要な顧客にはより緩やかなフォールバックポリシーを追加できます。
公共ポータルはローカルネットワークからの接続のみを受け付けるよう設定できます。`XX`ラベルがローカル/プライベートソースを分離し、実際の外部国トラフィックは国セットでブロックされます。監査証跡はどの国トラフィックがドロップされたかを示せます。
SaaSアプリケーションはWAAPログ内でログインエンドポイントへのトラフィックのASNを監視できます。ホスティングネットワークからの異常なログイン試行はCAPTCHA、レート制限、またはカスタムWAAPポリシーと組み合わせて評価できます。ASN可視性は国のみの判断よりも豊富なリスクコンテキストを提供します。
トラフィックスパイクが特定の国に集中する場合、TR7はそれらの国に対して一時的なdrop、reject、またはより厳格なレート制限ポリシーに切り替えられます。国セットは事前に準備済みなので判断は最も早いトラフィック層で適用されます。運用チームは攻撃波をソース国分布とともに監視できます。
ローカルGeoIPデータベース、名前空間ベースのipset同期、WAAPログエンリッチメントによる完全監査可能なアクセス制御。お客様自身の環境でのライブセットアップをご案内します。