Vercel News
·
Vercel Sandbox 的高级出站防火墙过滤
💡
原文英文,约600词,阅读约需2分钟。
📝
内容提要
Vercel Sandbox 通过 SNI 过滤和 CIDR 块实施出站网络策略,控制沙箱的主机访问。默认情况下,沙箱可无限制访问互联网,但在运行不可信或 AI 生成的代码时,可以限制网络访问,仅允许必要的服务。政策可动态更新,无需重启进程。
🎯
关键要点
- Vercel Sandbox 通过 SNI 过滤和 CIDR 块实施出站网络策略,控制沙箱的主机访问。
- 默认情况下,沙箱可无限制访问互联网,但在运行不可信或 AI 生成的代码时,可以限制网络访问。
- 政策可动态更新,无需重启进程。
- 现代互联网依赖主机名而非 IP 地址,传统的基于 IP 的防火墙规则无法精确区分。
- Vercel Sandbox 使用 SNI 监视防火墙,通过 TLS 握手的初始未加密字节提取目标主机名。
- 可以在创建沙箱时定义可访问的域名,其他所有访问默认被拒绝。
- 支持通配符,方便允许 CDN 后面的服务。
- 可以在初始设置后动态调整政策,无需重启进程,支持在一个会话中多次更新网络策略。
➡️
