請教各位大神~
最近客戶的網站新增了一個「我不是機器人」的驗證,但如果沒有把netblocks.google.com 這個dig出來的IP加到允許的政策,就沒辦法顯示。
可是實際把IP加到防火牆之後,仍然沒辦法顯示「我不是機器人」的驗證。
所以我就把netblocks.google.com及netblocks3.google.com dig出來的IP都加到防火牆,卻讓原本不能使用Google服務(youtube、gmail…等)的網段,通通都能使用這些服務了。
想請問有沒有什麼方法可以同時顯示「我不是機器人」又可以讓使用者不能使用Google其它的服務?
2020/12/24 (自行解決)
結果還來不及等到廠商的回覆,就自己摸Fortigate解決了…。
最終問題在於小弟對於產品的不熟悉…。
感謝各位大神、前輩的建議。
已邀請的邦友 {{ invite_list.length }}/5
Google 已經說了, reCaptcha 有可能使用到任何一個 Google IP:
https://code.google.com/archive/p/recaptcha/wikis/FirewallsAndRecaptcha.wiki
所以你不能從 Layer 3 的 IP 角度去開放, 這樣等於需要全開;
要把層次拉高到 Layer 7, 從 Content Filter 去開放或封鎖;
例如下面這篇, 他只會開放 Google Map 的服務, 但封鎖其他的:
https://kb.fortinet.com/kb/documentLink.do?externalID=FD37764
我不熟 Fortinet 的參數, 所以不知道 reCaptcha 要怎麼寫?
不過這個問題, 應該問原廠 Support 信箱可以給你答案....
很想問問樓主,當初是誰介紹買Fortigate
難道不知道"它"不是IP分享器,不是路由器嗎?
活在上一世紀的 MIS們
拜託不要再用IP跟service port來管資安了
Fortigate 有應用程式控制,免費的,好嗎?
最基本的防火牆條例設置方法
先擋掉所有公司不可以用的應用程式
後面「我不是機器人」的驗證就都可以用了,如圖
如果樓主還搞不清楚
建議您把下面資料準備好
然後好好問問賣樓主設備的廠商該怎麼做
讓客戶把一台NGFW當IP分享器來用,真的很不應該
如前輩所說,光用IP是不可能有任何效果的,從IP、Port、URL來封鎖/允許這類雲端服務很難滿足需求,而且這種IP會一直換的,隨時會增加/改變。
現今的環境一定要從Layer 7 入手,有的Layer 7規則甚至可以細部調整到「允許從One Drive下載,但是不允許上傳」、「只能用One Drive app,不能用網頁界面」這樣同樣使用One Drive的範例。
iThome鐵人賽
看影片追技術