【问题标题】:Block traffic based on x-forwarded-for with Checkpoint IPS使用 Checkpoint IPS 基于 x-forwarded-for 阻止流量
【发布时间】:2018-07-10 19:02:55
【问题描述】:
假设 http/https 请求来自 AWS 弹性负载均衡器后面的客户端,因此 Checkpoint 将负载均衡器的 IP 地址视为请求的来源。是否可以在请求中使用 x-forwarded-for 标头在 Checkpoint 中配置访问策略规则?
我看到还有一些其他帖子讨论了如何使用 IIS 处理这个问题,但我还没有找到 Checkpoint 的解决方案。
【问题讨论】:
标签:
amazon-web-services
load-balancing
firewall
checkpoint
x-forwarded-for
【解决方案1】:
我已经确认,目前 Checkpoint 没有任何基于 x-forwarded-for 标头内容的阻止功能,除了其地理阻止策略。这当然不允许任何用户定义的 IP/CIDR 范围集。基于 x-forwarded-for 配置防火墙规则的功能应该在 Checkpoint 的路线图上,但他们目前还没有为其实施制定时间表。
解决此问题的一种方法是使用 AWS 网络负载均衡器,与传统负载均衡器或应用程序负载均衡器不同,它不会更改请求的原始源 IP。这消除了对标题扫描的需要。