iT邦幫忙

0

Amazon CDN IP

kc19800322 1 年前803 瀏覽

各位邦友,小弟想請教一個Amazon CDN IP的問題,因為我們的WebSite有使用Amazon CDN,我想在Fortigate 上面只允許 Amazon CDN 的IP來存取我們的Web Site,我是用FQDN(.cloudfront.net)去阻擋,但這樣CND沒辦法跟我們同步,我上網查Amazon CDN有提供Jason,但他有一千萬個IP,我沒辦法在Foritgate上面做這樣的Mapping,而且CDN IP也會變動,想請問各位邦友,有沒有好的建議可以讓我參考,謝謝。

1 個回答

0
mytiny
iT邦大師 6 級 ‧ 1 年前
最佳解答

只允許 Amazon CDN 的IP來存取我們的Web Site
版大公司的網站都不讓其他人看嗎?

用FQDN(.cloudfront.net)去阻擋
不是應該是用FQND來開放白名單存取嗎? 怎反用封鎖呢?

小弟建議政策有分內外不同方向

外網到內網 wan to lan ,應該走FQDN的白名單開放

內網到外網 lan to wan,可用UTM的網頁過濾功能設定可使用的網頁類別

但是小弟畢竟不了解貴公司的網路架構

建議請替貴公司做Fortigate的維護廠商來研究架構及方案

若須附一些技術服務費,想來也是合理

看更多先前的回應...收起先前的回應...
mytiny iT邦大師 6 級 ‧ 1 年前 檢舉

最近這個版的預覽功能好像失效了,排版格式有些亂,還請見諒!

kc19800322 iT邦新手 5 級 ‧ 1 年前 檢舉

Hi Mytiny:
可能是我打錯意思了,我是想用FQDN做白名單的方式去允許CDN來存取我們的網站.
別人要存取我們的網站就透過CDN來存去,CDN上面會有WAF的防護,我們不希望有其他地方可以存取到Website

mytiny iT邦大師 6 級 ‧ 1 年前 檢舉

版大可以嘗試採用FortiOS 5.4.1,在有購買UTM的服務前提下,嘗試採用security內容表的DNS過濾及CASI(Cloud Access Security Inspection)

kc19800322 iT邦新手 5 級 ‧ 1 年前 檢舉

Hi Mytiny:
謝謝你的建議,但CDN過來是IP,無法用DNS過濾,謝謝.

kc19800322 iT邦新手 5 級 ‧ 1 年前 檢舉

謝謝大家的幫忙,小弟用Script去監控Amazon的CDN IP Range有無變動,假如有變動,將會執行Script去新增Fortigate信任的網段

我要發表回答

立即登入回答