Vercel News
·
Vercel Sandbox 的高级出站防火墙过滤
💡
原文英文,约600词,阅读约需2分钟。
📝
内容提要
Vercel Sandbox 通过 SNI 过滤和 CIDR 块实施出站网络策略,控制沙箱的主机访问。默认情况下,沙箱可无限制访问互联网,但在运行不可信或 AI 生成的代码时,可以限制网络访问,仅允许必要的服务。政策可动态更新,无需重启进程。
🎯
关键要点
- Vercel Sandbox 通过 SNI 过滤和 CIDR 块实施出站网络策略,控制沙箱的主机访问。
- 默认情况下,沙箱可无限制访问互联网,但在运行不可信或 AI 生成的代码时,可以限制网络访问。
- 政策可动态更新,无需重启进程。
- 现代互联网依赖主机名而非 IP 地址,传统的基于 IP 的防火墙规则无法精确区分。
- Vercel Sandbox 使用 SNI 监视防火墙,通过 TLS 握手的初始未加密字节提取目标主机名。
- 可以在创建沙箱时定义可访问的域名,其他所有访问默认被拒绝。
- 支持通配符,方便允许 CDN 后面的服务。
- 可以在初始设置后动态调整政策,无需重启进程,支持在一个会话中多次更新网络策略。
❓
延伸问答
Vercel Sandbox 的出站防火墙是如何工作的?
Vercel Sandbox 通过 SNI 过滤和 CIDR 块实施出站网络策略,控制沙箱的主机访问,未授权的目标在握手时被拒绝。
在 Vercel Sandbox 中如何限制网络访问?
可以在运行不可信或 AI 生成的代码时,限制网络访问,仅允许必要的服务,其他访问默认被拒绝。
Vercel Sandbox 支持哪些类型的网络策略?
Vercel Sandbox 支持基于 SNI 的策略和 IP/CIDR 基于规则,能够动态更新网络策略。
如何在创建沙箱时定义可访问的域名?
在创建沙箱时,可以通过设置网络策略中的 allow 列表来定义可访问的域名,其他所有访问将被拒绝。
Vercel Sandbox 的网络策略可以在运行时更新吗?
是的,网络策略可以在运行中的沙箱上动态更新,无需重启进程。
Vercel Sandbox 如何处理非 HTTP 协议的流量?
Vercel Sandbox 使用 SNI 监视防火墙来处理非 HTTP 协议的流量,确保可以支持 Redis 和 Postgres 等协议。
➡️
