最近,在过去一年左右的时间里,我注意到访问某些类型的网站似乎越来越困难,尤其是伊朗或俄罗斯等非受青睐国家的网站。
例如,刚才我试图访问俄罗斯国防部的网站(http://eng.mil.ru/en/index.htm),我有正当的商业理由访问该网站,但该网站超时了。我尝试通过欧洲代理访问同一个网站,连接没有问题。然后我尝试了 tracert,结果如下:
我对此的解释是,IP 被公司防火墙阻止了。我问我们的 IT 部门,网络的 IP 阻止策略是什么,他们说该策略不是由我们公司决定的,而是由防火墙服务提供商决定的,并且是提供商的“秘密和专有”的,他们(即 IT)无法控制该策略。
这是怎么回事?防火墙产品供应商是否只是全面封锁整个国家?
只是为了好玩,我决定尝试不同的国家,看看会发生什么:
Finland ok
Poland ok
Russia blocked
Ukraine blocked
Estonia blocked
Turkey blocked
Saudi Arabia blocked
Afghanistan ok
Iraq blocked
Georgia ok
Armenia blocked
Uzbekistan ok
好吧,那我能访问乌兹别克斯坦和格鲁吉亚的网站,却不能访问亚美尼亚和乌克兰的网站?谁编造的这个逻辑?
答案1
我见过各种供应商根据原产国进行内容过滤。中国和俄罗斯通常是默认启用过滤的国家,或者至少设置某种警报。这是因为这些国家往往是恶意软件攻击的源头。我不相信你的 IT 部门对此没有控制权。任何称职的供应商都会让你修改其产品的默认设置。
答案2
这可能不是在 IDS/IPS 级别完成的,而是在防火墙级别(通过 IP 列表阻止,效率较低)或路由级别完成的,使用一种称为选择性黑洞的方法(非常有效,甚至阻止路由到达您的路由器)。
这背后的原因尚不清楚 - 可能是因为你列出的国家往往是攻击源,虽然实际上并不比美国多,而坚定的攻击者在这种情况下无论如何都会继续规避......如果你在一个足够大的组织中工作 -他们很偏执- 不知何故,他们自己也不知道来自那里的 IP 带来的威胁。无论哪种方式,它都是一种权宜之计,出于多种意图和目的,你无需担心自己。隧道或代理退出!
答案3
完全可以使用 IP 地理位置来阻止与某些国家/地区相关的 IP 地址范围。关于它的有效性存在很多争议,我当然不会建议盲目地向任何人启用它,但这取决于企业自己是否与来自特定地区的公司有合法业务往来,因此,阻止与该地区相关的地址范围的风险与不阻止这些地址的风险是什么。
虽然地理封锁无法阻止坚定的攻击者,但它确实增加了从该位置攻击您的网络的复杂性(请记住,这可能意味着来自该位置的僵尸网络成员),这也可能减少来自临时攻击者和脚本小子的“背景噪音”,从而更容易看到更坚定的攻击。
此示例来自Sonicwall 知识库文章关于如何设置这些类型的过滤器。
无论如何,如果你有业务需要连接到被封锁国家/地区的企业,我不建议尝试绕过防火墙,就像其他答案中建议的那样,但最好将其作为管理问题:与您的经理交谈,让他们与 IT 部门经理交谈,并明确表示有业务要求允许此类访问。 不太可能没有办法配置这些类型的阻止,并且万一发生某种安全事件并且您试图绕过作为公司 IT 政策一部分的阻止的行为被发现,您很可能会为安全漏洞承担责任。