1.3.2 地区和地区组

地区是公网IP地址在地理位置上的映射，地区组是地区的集合，因此，地区和地区组在本质上是IP地址组。使用地区和地区组，可以根据地理位置配置安全策略。例如，某企业对外提供Web服务，出于安全考虑，不允许A国家的用户访问。此时，可以配置源地址为“A国家”、动作为“禁止”的安全策略，禁止A国家的用户访问该Web服务。

为了简化用户操作，华为防火墙提供了地区识别特征库，即预定义地区。目前，国内的预定义地区支持到省和城市级别，国外支持到国家（地区）级别。

地区识别特征库是按照国家（地区）划分的IP地址组，由华为收集和维护，可以通过升级中心定期更新或者手动更新。由于地区识别特征库的更新有一定的滞后性，防火墙还提供了3种自定义配置手段。自定义配置的优先级高于预定义地区。

自定义地区：手动创建新的地区，并指定符合条件的IP地址。

向预定义地区中添加IP地址：当发现某地区中缺少某IP地址时，可以向预定义地区中添加。

排除预定义地区中的IP地址：当发现某地区中的IP地址归属错误时，可以将该地址加入正确的地区或者未知区域，以排除该地址。

1. 自定义地区

自定义地区是孤立的，跟预定义地区没有归属关系。私网IP地址用于本地局域网，不属于任何地理意义上的国家（地区），默认归属为“未知区域”。如果需要从地区维度来管理和展示本地局域网的业务，可以为局域网的私网IP地址创建自定义地区。

# 创建自定义地区HangZhouBranch，并添加本地局域网地址段。

location
 geo-location user-defined HangZhouBranch
  description Hangzhou branch
  add address 10.10.1.0 mask 24

2. 向预定义地区中添加IP地址

IP地址的缺失可能会影响正常的业务访问。例如，管理员配置了允许A地区访问Web服务的安全策略，结果A地区的某个PC无法访问Web服务。如果安全策略配置正确，说明此PC的IP地址错误地划入了其他地区，此时可以将此IP地址加入A地区。

# 在预定义地区HangZhou中添加IP地址段10.20.20.20～10.20.20.30。

location
 geo-location pre-defined HangZhou
  add address range 10.20.20.20 10.20.20.30

3. 排除预定义地区中的IP地址

排除IP地址是通过在其他地区中添加IP地址来实现的，不能通过命令在当前地区中直接删除IP地址。如果用户清楚这些IP地址所属的真实地区，可以参照上一步，将这些IP地址添加到对应地区。如果不清楚，可以将这些IP地址添加到“未知区域”。

# 排除预定义地区HangZhou中的IP地址段10.10.10.1～10.10.10.20到未知区域。

location
 geo-location pre-defined unknown-zone
  add address range 10.10.10.1 10.10.10.20

4. 在安全策略中应用地区组

下面以禁止某些国家（地区）访问DMZ的HTTPS服务为例，展示地区组的应用方法。

# 创建地区组Five。在命令行中添加国家（地区）时可以使用ISO标准定义的两位国家（地区）代码，或者直接输入国家（地区）名称。

location
 geo-location-set Five
  add geo-location AU          //以两位国家（地区）代码形式添加
  add geo-location CA
  add geo-location NewZealand  //直接输入国家（地区）名称，注意大小写并去掉空格
  add geo-location UnitedKingdom
  add geo-location UnitedStates

由于国家（地区）很多，且命令行严格限制了国家（地区）的输入规范，使用命令行配置地区组不方便，推荐在Web界面上操作，如图1-13所示。在“可选”区域的搜索框输入国家（地区）名，可以快速定位并选择该国家（地区）。

图1-13　新建地区组

# 配置安全策略，禁止源地址为Five的流量访问HTTPS服务。

security-policy
  rule name “Deny Five”
    source-zone untrust
    destination-zone dmz
    source-address geo-location Five    //以地区组方式指定源地址
    service protocol https
    action deny