我正在学习网络安全课程,并试图了解所有概念。其中之一是:
除了防火墙之外,还有什么技术可以用于只允许特定客户,同时阻止其他一些客户?为什么防火墙不合适
在课程中,我学习了所有的安全工具,如:防火墙(静态、动态、DPI)、代理、VPN、隧道、各种IDS(签名、异常、暗网/灰网和蜜罐),然后是mod_security来保护apache,但仍然对这个问题感到困惑。
如有任何见解,我们将不胜感激。
防火墙意味着您根据客户IP地址进行阻止。如果客户有自己的地址范围,并且来自他的所有请求都是合法的,那么这可能会起作用。
当他与一家大型云提供商在一起时,情况会变得复杂起来,该提供商提供各种可能的IP,包括其他人的IP。
对于应用程序,一个好的解决方案是使用客户端证书。在这种情况下,在TLS握手(建立TLS(was:SSL)隧道的过程)期间,服务器将请求客户端提供他(服务器)信任的证书。如果不提供,将断开连接。
通过这种方式,您可以将证书分发给您希望能够访问您的服务的客户端,而其他客户端将被拒绝。这种解决方案更好,因为它使用的技术正是为了解决这个问题而开发的。缺点是必须维护和分发证书(通常运行PKI)。