esiste una soluzione per creare regole FW per URL invece di IP per il traffico in entrata? Ad esempio, a.example.com e b.example.com sono lo stesso IP sul DNS, ma sono siti diversi, esiste una soluzione per aprire la porta 22, ad esempio solo per un.example.com?
In caso affermativo, qual è il nome della soluzione?
Grazie.
Ci sono due modi possibili a cui posso pensare.
1.Se il firewall dispone di funzionalità di filtro URL / Web, è possibile configurare un filtro locale con l'URL menzionato, ma è necessario definire prima un criterio firewall tradizionale e allegare la configurazione URL / filtro Web alla politica.
2.Se il firewall dispone di funzionalità AI (identificazione dell'informatica) e supporta la firma personalizzata, è possibile definire l'URL come applicazione personalizzata. Poiché l'identificazione dell'applicazione avviene in una fase molto precoce, è possibile definire una politica normale e sostituire l'IP e la porta di destionazione con l'app personalizzata.
Dipende dalla tua soluzione firewall. Quello di cui parli suona come Layer 7 Content Filtering. Questo non è comune come il filtraggio IP di Layer 3, ma è supportato su alcuni firewall più avanzati.
Per rispondere alla tua domanda di poter distinguere tra connessioni allo stesso IP ma nomi host diversi:
Questo è molto facile da fare con i siti web dato che l'hostname viene trasmesso nell'intestazione HTTP e può essere facilmente identificato dal firewall. Se si desidera eseguire questa operazione con SSL / TLS, si verificherà un errore del certificato a meno che sul client non sia installata la CA appropriata, poiché il firewall deve agire come Man-In-The-Middle per decodificare, ispezionare e ri -criptare i dati per vedere il nome host.
Se volevi questa funzionalità per altri servizi, come SSH come suggerivi, questo è molto più complesso. Non ci sono intestazioni o altre indicazioni di un nome host in molti altri protocolli come SSH. Alcuni firewall avanzati potrebbero offrire una flessibilità di configurazione sufficiente a risolvere il problema, ma non sarebbe una soluzione infallibile. Questo potrebbe essere fatto a livello DNS e servire un IP non valido per il nome host vietato o bloccare l'IP dopo che è stata effettuata una richiesta DNS per il nome host bannato.
Modifica : dopo aver riletto la tua domanda, non sono sicuro del motivo per cui ho pensato che stavi parlando del filtraggio in uscita. Se si sta parlando di filtraggio in entrata, l'ultimo bit relativo al DNS non si applica in realtà.
Questa funzione è chiamata filtro del contenuto, perché stai bloccando in base al contenuto specifico nei pacchetti TCP.
Prima di esaurire l'acquisto di un prodotto, è necessario innanzitutto verificare se il firewall esistente supporta questa funzione, molti lo fanno. Anche i router wifi e i modem via cavo hanno spesso questa caratteristica. Ad esempio, i prodotti WiFi e modem via cavo di netgear, motorola o linksys supportano i firewall di filtraggio dei contenuti.
I firewall di checkpoint possono farlo.
Sarei disposto a scommettere anche i firewall "nextgen" come Palo Alto.
Attenzione però, se sei una grande azienda questo causerà un sacco di spese generali sul tuo FW.
Dipende dal firewall (come altri hanno detto) ma anche dal protocollo dell'applicazione. Nel tuo esempio usi la porta 22, che di solito è associata a SSH. Per quanto ne so, SSH trasmette il nome host di destinazione all'interno del protocollo, quindi non è possibile distinguere l'accesso SSH a nomi host diversi sullo stesso indirizzo IP (e il server SSH stesso non lo distingue). Anche i protocolli utilizzati per l'invio e la ricezione di e-mail (SMTP, IMAP, POP) non hanno alcuna conoscenza del nome host di destinazione, quindi non è possibile filtrare anche in base al nome host.
Come per HTTP: la maggior parte dei browser invia il nome host di destinazione all'interno dell'intestazione HTTP (richiesto con HTTP / 1.1, ma lo fa anche la maggior parte degli user agent HTTP / 1.0) così puoi provare a distinguere il target in base a questa intestazione. Ma questo funziona solo se l'utente non manomette la richiesta. Molti siti Web ignorano semplicemente l'intestazione Host, il che significa che è possibile aggirare facilmente un filtro per nytimes.com inserendo un'intestazione Host di example.com nella richiesta HTTP, ma inviare questa richiesta all'indirizzo IP di nytimes.com. Questo metodo funziona per la maggior parte dei cosiddetti firewall di prossima generazione.
Come per il filtraggio del traffico in entrata: dipende anche dal protocollo dell'applicazione. Quindi è possibile rilevare il nome host di destinazione per HTTP o anche per HTTPS se viene utilizzato SNI, ma non sarà possibile per IMAP, SSH, FTP ecc. Perché il nome host non viene trasmesso all'interno del livello applicazione.
Leggi altre domande sui tag firewalls