Скажем, запросы http/https поступают от клиента за эластичным балансировщиком нагрузки AWS, поэтому Checkpoint видит IP-адрес балансировщика нагрузки в качестве источника запроса. Можно ли использовать заголовок x-forwarded-for в запросе на настройку правила политики доступа в Checkpoint?
Я вижу, что есть несколько других сообщений, в которых обсуждается, как справиться с этим с помощью IIS, но я не смог найти решение для Checkpoint.
С тех пор я подтвердил, что в настоящее время Checkpoint не имеет никаких функций для блокировки на основе содержимого заголовка x-forwarded-for, за исключением их политик геоблокировки. Это, конечно, не позволяет использовать какие-либо пользовательские наборы диапазонов IP-адресов/CIDR. Предполагается, что функциональность для настройки правил брандмауэра на основе x-forwarded-for будет включена в дорожную карту Checkpoint, но на данный момент они не указали сроки ее реализации.
Один из способов обойти это — использовать балансировщики сетевой нагрузки AWS, которые, в отличие от классических балансировщиков нагрузки или балансировщиков нагрузки приложений, не изменяют исходный IP-адрес источника запроса. Это устраняет необходимость сканирования заголовков.
