Назад | Перейти на главную страницу

Исходящие правила межсетевого экрана на основе домена

У нас есть веб-сервер (IIS), на котором размещены некоторые сайты электронной коммерции. Наш брандмауэр перед сервером имеет ограничение на входящий и исходящий трафик. Веб-сервер выполняет исходящие вызовы поставщикам платежей (и другим сторонним службам), используя разрешение DNS, и исходящий трафик на эти IP-адреса разрешен нашим брандмауэром. Обновления списка разрешенных IP-адресов публикуются на их веб-сайтах.

Когда поставщик платежей (или любая другая служба, которую использует наш веб-сайт) добавляет к своему решению дополнительные серверы, исходящие вызовы на эти новые IP-адреса не будут выполнены, если они уже не разрешены нашим брандмауэром.

Вопрос: есть ли способ разрешить исходящий доступ на основе имени домена (например, paypal.com) вместо использования блока IP-адресов, которые не всегда остаются одинаковыми?

Брандмауэр спереди сделан Cisco.

Кроме того, есть ли другой подход, подходящий для такого сценария?

заранее спасибо

Начиная с версии iOS 8.4 (2) вы можете использовать Правила доступа на основе личности.

Это именно то, что вы ищете.

Также есть поддержка статья на форуме cisco Здесь подробно описано, как настроить DNS и список доступа с полным доменным именем.