Security_Services_GeoIP
Esta seção contém as seguintes subseções:
• Serviços de segurança > Filtro Geo-IP
• Serviços de segurança > Filtro de botnets
Serviços de segurança > Filtro Geo-IP
O recurso de Filtro Geo-IP permite aos administradores bloquear conexões para ou de um local geográfico. O dispositivo de segurança de rede Dell/SonicWALL usa endereços IP para determinar o local da conexão.
Para configurar a Filtragem de Geo-IP, execute as seguintes etapas:
1. Para bloquear conexões de e para países listados na tabela abaixo, selecione a opção Bloquear conexões de/para países listados na tabela abaixo.
2. Selecione um dos dois seguintes modos para Filtragem de Geo-IP:
– Todas as conexões: Todas conexões de e para o firewall são filtradas.
– Conexões com base na regra de firewall: Somente as conexões que correspondem a uma regra de acesso configurada no firewall são filtradas.
3. Se você quiser bloquear todas as conexões quando o banco de dados Geo-IP não for baixado, selecione Bloquear todas as conexões para IPs públicos se não tiver sido feito o download do banco de dados de GeoIP.
4. Para registrar os eventos relacionados ao Filtro Geo-IP, selecione Habilitar registro em log.
5. Em Países, na tabela País bloqueado, selecione os países a serem bloqueados.
6. Se você quer para bloquear qualquer país que não esteja listado, selecione a opção Bloquear TODOS OS PAÍSES DESCONHECIDOS.
Observação Como alternativa, você pode configurar uma lista de exclusão para todas as conexões para endereços IP aprovados. Para fazer isso, vá para o menu suspenso Objeto de exclusão de Geo-IP e selecione um objeto de endereço ou grupo de endereço. Todos os endereços IP no objeto de endereço ou grupo serão permitidos, mesmo que sejam de um país bloqueado.
Para esse recurso funcionar corretamente, o banco de dados do país deve ser baixado para o dispositivo. O indicador de Status na parte superior direita da página fica amarela se este download falhar. O status verde indica que o banco de dados foi baixado com êxito. Clique no botão Status para exibir mais informações.
Para que o banco de dados do país seja baixado, o dispositivo deve ser capaz de resolver o endereço, "geodnsd.global.sonicwall.com".
Quando um usuário tenta acessar uma página da Web que é de um país bloqueado, uma página de bloqueio é exibida no navegador do usuário.
Observação Se uma conexão a um país bloqueado é de curta duração e o firewall não tem um cache para o endereço IP, então a conexão pode não ser bloqueada imediatamente. Como resultado, conexões a países bloqueados ocasionalmente podem aparecer no Monitor de Fluxo de Aplicativo. No entanto, as conexões adicionais para o mesmo endereço IP serão bloqueadas imediatamente.
O Objeto de exclusão de Geo-IP é um grupo de objeto de endereços de rede que especifica um grupo ou um intervalo de endereços IP a serem excluídos do bloqueio do filtro de Geo-IP.
Por exemplo, se todos os endereços IP oriundos do País A forem definidos como bloqueados e um endereço IP do País A for detectado, mas estiver na lista de Objeto de exclusão de Geo-IP, então o tráfego para e desse endereço IP terá permissão para passar.
Os usuários podem criar novos objetos de endereço para esse grupo.
Configurações da página de bloqueio da Web
Quando você seleciona a opção Incluir detalhes do bloqueio do filtro de Geo-IP, informações detalhadas, como o motivo pelo qual esse endereço IP está bloqueado, são exibidas quando a página é bloqueada. O endereço IP e o país no qual ele foi detectado são incluídos.
Na caixa Texto de alerta, o administrador pode digitar uma mensagem que será exibida quando a página for bloqueada.
Na caixa Ícone de logotipo codificado em Base64, o administrador pode alterar o logotipo DELL padrão para outro. Para isso, o administrador deve converter uma imagem GIF para uma imagem codificada em Base64 e colar a imagem codificada nela.
A página Filtro Geo-IP tem uma seção de Diagnóstico contendo:
• Botão Mostrar locais resolvidos
• Tabela Estatísticas de cache de Geo-IP
• Verificar a pesquisa de servidores de localização geográfica
As ferramentas de Localização geográfica e Pesquisar servidor Botnet podem ser acessadas da página Sistema > Diagnóstico.
Serviços de segurança > Filtro de botnets
A Filtragem de botnets permite aos administradores bloquear conexões de ou para servidores de controle e comando de botnets.
Para configurar a filtragem de Botnet, execute as seguintes etapas:
1. Para bloquear todos os servidores designados como servidores Botnet, selecione a opção Bloquear conexões para/de servidores de controle e comando de botnets.
2. Selecione um dos dois seguintes modos para Filtragem de Botnet:
– Todas as conexões: Todas conexões de e para o firewall são filtradas.
– Conexões com base na regra de firewall: Somente as conexões que correspondem a uma regra de acesso configurada no firewall são filtradas.
3. Se você quiser bloquear todas as conexões quando o banco de dados Botnet não for baixado, selecione Bloquear todas as conexões para IPs públicos se não tiver sido feito o download do banco de dados de Botnet.
4. Para registrar os eventos relacionados ao Filtro de Botnet, selecione Habilitar registro em log.
Observação Como alternativa, você pode configurar uma lista de exclusão para todas as conexões para endereços IP aprovados. Para fazer isso, vá para o menu suspenso Objeto de exclusão de Botnet e selecione um objeto de endereço ou grupo de endereço.
Observação Se suspeitar que um determinado endereço está incorretamente marcado como um botnet ou se você acredita que um endereço deva ser marcado como botnet, você pode acessar Pesquisa de status de IP de botnets para reportar esse problema em:
http://botnet.global.sonicwall.com/
Verificando a localização geográfica e o status do servidor de botnet
O Filtro de botnets também oferece a capacidade de procurar endereços IP para determinar o nome de domínio, servidor DNS, o país de origem e se ele é classificado como um servidor de botnets. Para fazer isso, execute as seguintes etapas:
1. Role para o fim da página Serviços de segurança > Filtro de botnets.
Insira o endereço IP no campo Pesquisar IP e clique em Ir.
Detalhes sobre o endereço IP são exibidos abaixo do título Resultado.
O Objeto de exclusão de botnets é um grupo de objeto de endereços de rede que especifica um grupo ou um intervalo de endereços IP a serem excluídos do bloqueio do filtro de Geo-IP.
Por exemplo, se todos os endereços IP oriundos do País A forem definidos como bloqueados e um endereço IP do País A for detectado, mas estiver na lista de Objeto de exclusão de botnets, então o tráfego para e desse endereço IP terá permissão para passar.
Os usuários podem criar novos objetos de endereço para esse grupo.
Configurações da página de bloqueio da Web
Quando você seleciona a opção Incluir detalhes do bloqueio do filtro de botnets, informações detalhadas, como o motivo pelo qual esse endereço IP está bloqueado, são exibidas quando a página é bloqueada. O endereço IP e o país no qual ele foi detectado são incluídos.
Na caixa Texto de alerta, o administrador pode digitar uma mensagem que será exibida quando a página for bloqueada.
Na caixa Ícone de logotipo codificado em Base64, o administrador pode alterar o logotipo DELL padrão para outro. Para isso, o administrador deve converter uma imagem GIF para uma imagem codificada em Base64 e colar a imagem codificada nela.
Diagnósticos de Filtro de botnets
A página Filtro de Botnet tem uma seção de Diagnóstico contendo:
• Botão Mostrar locais resolvidos
• Tabela Estatísticas de cache de botnets
• Verificar a pesquisa de servidores Botnet
As ferramentas de Localização geográfica e Pesquisar servidor Botnet podem ser acessadas da página Sistema > Diagnóstico.