我们有一个客户的网络非常封闭。任何出站连接都需要将端口和 IP 地址列入白名单。
但是,我们在Amazon Elastic Load Balancer (ELB)后面运行我们的系统。这意味着 ELB 的 IP 地址可以更改,并且超出我们的控制范围。
是否可以将域名而不是特定 IP 地址列入白名单?
我意识到这将取决于客户的 IT 基础架构。他们是一家仅限 Windows 的商店,因此如果我们可以在 Microsoft 世界中采用特定的方法,那就太好了。如果 Cisco 等有特定于路由器的设置,那也将是有意义的(以防客户使用该设置)。
对于如何解决这个问题,您还有其他建议吗?
使用 IP 地址白名单似乎非常脆弱……尽管打开特定域名会使您面临 DNS 中毒攻击。
如果客户像问题所暗示的那样具有安全意识,那么他们将理解执行任务的唯一可靠方法是将流量列入 Amazon ELB 服务的 IP 地址范围的白名单。
如果担心这将允许其他网站使用相同的服务进行外部访问,则需要代理服务器或二级防火墙来确保到这些 IP 的流量仅允许网站访问。
如果没有对客户布局有更多了解,就很难更具体。
然而,在我支持的其中一项服务中,它将通过使用 Bluecoat 代理来控制对外部网站的访问来完成。
最好也只允许授权客户端使用 AD 控件,然后通过 Bluecoats 外部接口上的 VIP 地址将流量发送到防火墙,该地址仅用于此服务的流量。
然后,防火墙可以限制仅从源 VIP 访问 IP 目标范围。
任何代理服务器都应该能够做到这一点,如果您的客户没有使用一个,那么第二个防火墙可以与 SNAT 一起使用来做同样的事情。第一个防火墙允许访问网站,然后将流量转发到 SNAT 上的第二个防火墙,SNAT 用作与外部 IP 地址范围匹配的源/目标的源地址。
这将避免 DNS 中毒的问题,因为任何响应仍然必须匹配防火墙上允许的 IP 地址范围。