iT邦幫忙

0

Fortigate 80E 新增Google recaptcha的IP,卻連Google服務一起開放了

請教各位大神~
最近客戶的網站新增了一個「我不是機器人」的驗證,但如果沒有把netblocks.google.com 這個dig出來的IP加到允許的政策,就沒辦法顯示。
可是實際把IP加到防火牆之後,仍然沒辦法顯示「我不是機器人」的驗證。

所以我就把netblocks.google.com及netblocks3.google.com dig出來的IP都加到防火牆,卻讓原本不能使用Google服務(youtube、gmail…等)的網段,通通都能使用這些服務了。

想請問有沒有什麼方法可以同時顯示「我不是機器人」又可以讓使用者不能使用Google其它的服務?

2020/12/24 (自行解決)
結果還來不及等到廠商的回覆,就自己摸Fortigate解決了…。
最終問題在於小弟對於產品的不熟悉…。
感謝各位大神、前輩的建議。

1
raytracy
iT邦大神 1 級 ‧ 2020-12-23 17:58:20
最佳解答

Google 已經說了, reCaptcha 有可能使用到任何一個 Google IP:
https://code.google.com/archive/p/recaptcha/wikis/FirewallsAndRecaptcha.wiki

所以你不能從 Layer 3 的 IP 角度去開放, 這樣等於需要全開;
要把層次拉高到 Layer 7, 從 Content Filter 去開放或封鎖;
例如下面這篇, 他只會開放 Google Map 的服務, 但封鎖其他的:
https://kb.fortinet.com/kb/documentLink.do?externalID=FD37764

我不熟 Fortinet 的參數, 所以不知道 reCaptcha 要怎麼寫?
不過這個問題, 應該問原廠 Support 信箱可以給你答案....

snackshih iT邦新手 5 級 ‧ 2020-12-23 20:49:26 檢舉

感謝大神回覆!
要讓特定網段能執行reCaptcha,但不能使用其它Google服務。
然後還要不影響原先能使用Google服務的用戶端…,很頭痛…。

1
mytiny
iT邦大師 1 級 ‧ 2020-12-23 20:53:46

很想問問樓主,當初是誰介紹買Fortigate
難道不知道"它"不是IP分享器,不是路由器嗎?
活在上一世紀的 MIS們
拜託不要再用IP跟service port來管資安了
Fortigate 有應用程式控制,免費的,好嗎?

最基本的防火牆條例設置方法
先擋掉所有公司不可以用的應用程式
後面「我不是機器人」的驗證就都可以用了,如圖
https://ithelp.ithome.com.tw/upload/images/20201223/2008385773twrG42ik.jpg

如果樓主還搞不清楚
建議您把下面資料準備好

  1. OS的版本
  2. 服務授權的情況
  3. 防火牆政策+資安防護的設定

然後好好問問賣樓主設備的廠商該怎麼做
讓客戶把一台NGFW當IP分享器來用,真的很不應該

snackshih iT邦新手 5 級 ‧ 2020-12-23 21:08:51 檢舉

感謝 mytiny大的建議,其實我稍早也有問廠商,不過還沒得到答覆就是了,然後我也想聽聽有沒有不同的建議可以學習的。

0
CyberSerge
iT邦好手 1 級 ‧ 2020-12-23 21:37:58

如前輩所說,光用IP是不可能有任何效果的,從IP、Port、URL來封鎖/允許這類雲端服務很難滿足需求,而且這種IP會一直換的,隨時會增加/改變。

現今的環境一定要從Layer 7 入手,有的Layer 7規則甚至可以細部調整到「允許從One Drive下載,但是不允許上傳」、「只能用One Drive app,不能用網頁界面」這樣同樣使用One Drive的範例。

看更多先前的回應...收起先前的回應...
snackshih iT邦新手 5 級 ‧ 2020-12-23 22:13:20 檢舉

喔對!還有IP會變動這件事…,感謝!

這類雲端服務,就算URL相同,IP也會換;就連URL也是會換的。例如你找到netblocks.google.com,把netblocks1-3都加進URL白名單,幾個月後發現出問題,因為他們新加了netblocks4.google.com,這樣變成一個惡性循換,每幾個月就會有人抱怨「又出問題了」,又要在加新的URL/IP,主管覺得你不行,上有壓力下有抱怨,真的不值得。

Layer 7輕鬆多了不用擔心URL/IP改變,又能做細緻、正確的允許/阻擋。

snackshih iT邦新手 5 級 ‧ 2020-12-24 08:37:28 檢舉

我稍早有想過用應用程式去阻擋,但要考慮到不影響本來就可以使用Google服務的長官們,所以不敢貿然行動…。

可以用mac來設定例外處理。

我要發表回答

立即登入回答