3

我们需要根据 IP 地址控制对基于SaaS的 Web 应用程序的访问(也就是说,只有当请求来自其子网中的 PC 时,我们才必须限制对公司 A 用户的访问)。你如何解决这个问题?

4

4 回答 4

4

使用虚拟专用网络解决方案。这允许您将授权与应用程序逻辑分开。它还将加密通信,因此窃听者无法读取来回发送的数据。

于 2010-04-17T09:05:39.877 回答
3

你有两个选择(好的,刚刚看到@Mark 的回答,所以至少有三个选项),我的两个都是白名单:

  1. 您配置托管服务的服务器,使其仅接受来自指定范围的请求
  2. 您将白名单放入软件中,并在收到每个请求时验证 IP 地址

从技术上讲,第一个可能是最简单的(假设您可以控制一个标准的 Web 服务器),因为它已经存在。例如,在 IIS 中,您将拒绝访问除指定之外的内容。问题在于维护问题,如果您有多个服务器,这将成为一个更大的问题,因为它们必须保持同步,并且(如果我们保持简单)负责人必须具有对服务器的管理员访问权限。

因此,这两个长期的更好解决方案(因为您可以立即实施上述方案)是在请求到达您的服务时检查请求,并针对有效 IP 地址的“数据库”验证请求,然后拒绝您的任何请求不喜欢任何你认为合适的回应。这具有以下优点:a) 为您提供更多控制权(例如,如果适当,您可以选择允许对某些服务的访问限制较少)和 b) 允许您提供自己的工具来维护 IP 地址表,因为人们希望 - 如果您的 SaaS 是成功的——这将是一项重要且持续的任务。

这里没有一个正确的答案——如果 VPN 是一个可行的解决方案,那么它具有相当大的优点,但反过来又会带来它自己的一组配置和维护问题。

于 2010-04-17T09:19:10.223 回答
1

如果它是一个纯粹的基于 Web 的服务,为什么不使用 https 并限制只有具有适当客户端证书的访问?诚然,推出比仅仅拥有 IP 范围规则更复杂,但它应该更稳定(加上安全,因此根据您的设置,不需要单独的“登录”步骤)。

于 2010-04-17T09:50:20.833 回答
0

使用防火墙怎么样?

于 2010-04-17T09:06:18.783 回答