iT邦幫忙

0

Amazon CDN IP

各位邦友,小弟想請教一個Amazon CDN IP的問題,因為我們的WebSite有使用Amazon CDN,我想在Fortigate 上面只允許 Amazon CDN 的IP來存取我們的Web Site,我是用FQDN(.cloudfront.net)去阻擋,但這樣CND沒辦法跟我們同步,我上網查Amazon CDN有提供Jason,但他有一千萬個IP,我沒辦法在Foritgate上面做這樣的Mapping,而且CDN IP也會變動,想請問各位邦友,有沒有好的建議可以讓我參考,謝謝。

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

0
mytiny
iT邦超人 1 級 ‧ 2016-08-05 13:51:27
最佳解答

只允許 Amazon CDN 的IP來存取我們的Web Site
版大公司的網站都不讓其他人看嗎?

用FQDN(.cloudfront.net)去阻擋
不是應該是用FQND來開放白名單存取嗎? 怎反用封鎖呢?

小弟建議政策有分內外不同方向

外網到內網 wan to lan ,應該走FQDN的白名單開放

內網到外網 lan to wan,可用UTM的網頁過濾功能設定可使用的網頁類別

但是小弟畢竟不了解貴公司的網路架構

建議請替貴公司做Fortigate的維護廠商來研究架構及方案

若須附一些技術服務費,想來也是合理

看更多先前的回應...收起先前的回應...
mytiny iT邦超人 1 級 ‧ 2016-08-05 13:53:53 檢舉

最近這個版的預覽功能好像失效了,排版格式有些亂,還請見諒!

Hi Mytiny:
可能是我打錯意思了,我是想用FQDN做白名單的方式去允許CDN來存取我們的網站.
別人要存取我們的網站就透過CDN來存去,CDN上面會有WAF的防護,我們不希望有其他地方可以存取到Website

mytiny iT邦超人 1 級 ‧ 2016-08-06 17:34:32 檢舉

版大可以嘗試採用FortiOS 5.4.1,在有購買UTM的服務前提下,嘗試採用security內容表的DNS過濾及CASI(Cloud Access Security Inspection)

Hi Mytiny:
謝謝你的建議,但CDN過來是IP,無法用DNS過濾,謝謝.

謝謝大家的幫忙,小弟用Script去監控Amazon的CDN IP Range有無變動,假如有變動,將會執行Script去新增Fortigate信任的網段

我要發表回答

立即登入回答