假设http / https请求来自AWS弹性负载均衡器后面的客户端,因此Checkpoint将负载均衡器的IP地址视为请求的来源。是否可以在请求中使用x-forwarded-for标头在Checkpoint中配置访问策略规则?
我看到还有一些其他帖子讨论如何用IIS处理这个问题,但我还没有能够找到Checkpoint的解决方案。
答案 0 :(得分:0)
我已经确认当前Checkpoint没有任何基于x-forwarded-for标头内容的阻止功能,但地理阻止策略除外。这当然不允许任何用户定义的IP / CIDR范围集。基于x-forwarded-for配置防火墙规则的功能应该在Checkpoint的路线图上,但是它们还没有为此时的实现提供时间表。
解决此问题的一种方法是使用AWS Network Load Balancers,它与传统负载均衡器或应用程序负载均衡器不同,不会更改请求的原始源IP。这消除了对标题扫描的需要。