使用Cloudflare Zero Trust管理和控制专用出口IP的使用

在身份驱动的Zero Trust规则之前，公共互联网上的一些SaaS应用程序依靠连接用户的IP地址作为安全模型。用户将从已知的办公地点连接，具有固定的IP地址范围，并且SaaS应用程序除了检查登录凭证之外还会检查他们的地址。

许多系统仍然提供这种第二因素方法。Cloudflare One客户可以在Zero Trust模型中使用一个专用的出口IP来达到这一目的。与其他解决方案不同，使用该方案的客户不需要自己部署任何基础设施。然而，并非所有流量都需要使用这些专用的出口IP。

今天，我们宣布了一些政策，支持管理员能够控制Cloudflare何时使用其专用出口IP。具体而言，管理员可以使用Cloudflare仪表板中的规则构建器，根据身份、应用程序、IP地址和地理位置等属性，确定何时使用哪个出口IP。任何企业合同级别客户，只要在他们的Zero Trust套餐中增加专用的出口IP，就可以使用这一功能。

我们为什么构建这一功能？

在如今多元化的工作环境中，组织渴望获得更一致的安全和IT体验，以管理他们的员工从办公室、数据中心和漫游用户中流出的流量。为了提供更加精简的体验，许多组织正在采用由云提供的现代代理服务，如安全Web网关（SWG），并不再选择复杂的内部设备组合。

很多传统工具的一个典型便利性在于能够根据静态源IP创建允许列表策略。当用户主要在一个地方时，根据出口位置验证流量将相当简单而可靠。许多组织希望或被要求保留这种流量验证方法，即使他们的用户已经不在一个地方了，也是如此。

到目前为止，Cloudflare已经为这些组织提供了专用的出口IP，作为我们的代理Zero Trust服务的附加功能。与默认的出口IP不同，这些专用的出口IP不在任何其他Gateway帐户之间共享，只用于流出指定帐户的代理流量。

正如在以前的博文中所述，客户已经在使用Cloudflare的专用出口IP，通过使用这些IP来识别其用户的代理流量，或将这些IP添加到第三方供应商的允许列表中，从而消除了VPN的使用需求。这些组织享受到了仍然使用固定已知IP的简单便利，同时还能避免他们的流量遇到本地设备的瓶颈和回传。

何时使用出口策略

Gateway出口策略构建器使管理员能够根据用户的身份、设备状况、源/目的IP地址等，增强出口流量的灵活性和特殊性。

从特定地理位置流出的流量为选定用户组提供了特定于地理位置的体验（例如语言格式、地区性页面差异），这是一个常见的用例。例如，Cloudflare目前正在与一家全球媒体集团的营销部门合作。他们设在印度的设计师和网络专家经常需要核实在不同国家运行的广告和网站的布局。

然而，这些网站会根据用户的源IP地址的地理位置来限制或改变访问。为此团队需要使用额外的VPN服务。通过出口策略，管理员可以创建一个规则来匹配域名IP地址或目的国IP地理位置，让营销员工从专用出口IP来流出流量，这些IP已从地理上定位到他们需要验证域名的国家。这可以让他们的安全团队十分放心，因为他们不再需要为营销团队提供另一个专用VPN服务，无需费心维护这一周边防御漏洞，并可以对这一流量实施所有其他的过滤功能。

另一个用例是对第三方维护的应用程序或服务设置允许访问列表。虽然安全管理员可以控制他们的团队如何访问他们的资源，甚至对他们的流量进行过滤，但他们往往不能改变第三方实施的安全控制。例如，在与一家大型信贷处理商合作时，他们使用第三方服务来验证通过其Zero Trust网络进行交易的风险性。这个第三方要求他们设置其源IP的允许列表。

为了满足这一要求，该客户可以直接使用专用的出口IP，这样也行，但这就表示他们所有的流量现在都要通过数据中心的专用出口IP进行路由。因此，如果用户想浏览任何其他网站，就会遇到不太满意的体验，因为他们的流量可能没有采取最有效的路径到达上游。但现在有了出口策略，客户现在可以只对这个第三方供应商的流量应用这个专用的出口IP，而让所有其他用户的流量通过默认的Gateway出口IP流出。

构建出口策略

为了展示管理员配置策略是多么简单，让我们来看看上述场景的情况。一家组织使用第三方服务，除了用户名/密码登录外，第三方还要求该组织使用静态源IP或访问他们域的网络范围。

如要进行此类设置，只需在Zero Trust仪表板上导航到Gateway下的出口策略。在那里，可以点击“创建出口策略”：

对该组织来说，大多数访问这个第三方服务的用户都位于葡萄牙，所以该组织将使用分配到葡萄牙蒙蒂霍的专用出口IP。用户将访问托管在203.0.113.10的example.com，所以可将使用目标IP选择器来匹配所有到这个网站的流量；策略配置如下：

在策略创建好了之后，再添加一个策略针对该组织进行全面覆盖，确保组织内不能使用任何与该第三方服务无关的目的地专用出口IP。这是添加操作的关键，因为这会确保组织内的用户获得最有效的网络体验，同时通过共享的Enterprise IP池的出口，仍然保持他们的隐私，策略配置如下：

看看出口策略列表，我们可以看到两个策略都已启用，现在当用户试图访问example.com时，他们将使用首选或辅助专用IPv4或IPv6范围作为出口IP。所有其他流量则使用默认的Cloudflare出口IP。

后续步骤

我们意识到，随着组织脱离本地设备，他们会希望在通过云安全堆栈代理更多流量的同时，能够继续保持简单和有效的控制。凭借Gateway出口策略，管理员如今可以为他们越来越多分散开来的员工控制流量。

如果您想要对Cloudflare专用出口IP构建策略，可以将它们添加到Cloudflare Zero Trust Enterprise计划或联系您的客户经理。

相关推荐: 必应聊天Sydney“自画像”曝光

IT之家 4月12日消息，根据国外科技媒体Windows Central报道，网友SnooDonkeys5480近日在Reddit社区发帖，分享了和必应聊天（Bing Chat）的一张截图。 该截图使用Bing Image Creator生成了多张自画像，将自…