Networking
在受限網路中將多個外部 IP 列入白名單的替代方案
我有一個案例,在客戶站點我必須指示客戶將大量外部伺服器 IP 地址列入白名單。公司中的使用者必須能夠連接到每個單獨的伺服器。這對他們的 IT 部門來說很麻煩。我正在嘗試制定一個解決方案,他們可以只將一個 IP 地址或域名列入白名單。
一種解決方案是使用使用者將連接到的反向代理,但使用者將連接到除 80 和 443 之外的埠。我可以將它與用於 ssh 的跳轉框一起使用,但我不太喜歡這種方法,而且他們還需要連接其他一些不起眼的埠。
第二種選擇是使用客戶可以連接的 vpn。然後他們可以連接到我的 vpc (AWS) 內的伺服器。
第三個選項是給每個伺服器一個 dns 名稱,如 server1.example.com、server2.example.com 等。然後客戶可以將 example.com 列入白名單。我不確定客戶的 dns 設置會如何處理這個問題。
有沒有其他人解決過這樣的問題?我試圖找出最簡單的解決方案。
是
如果您的客戶對安全性有點認真,則不允許您從/到他們的網路創建 VPN。如果他們允許您創建 VPN,他們會將其置於防火牆後面,並且他們仍然必須輸入您的 40 個地址(或 400 個)。通常,僅在代理中將 DNS 名稱列入白名單;真正的防火牆不信任 DNS。
因此,如果您對此感到滿意,請選擇代理/跳轉主機,或者給他們 400 個 IP 地址。我不認為他們會感到驚訝。
你也可以給他們一個子網。如果您以這樣一種方式組織您的伺服器,您可以給它們一個 /25 或 /26 並且您保證它們只是該子網中的他的伺服器,那可能會更容易。