AWS Global Accelerator verzorgt IP-adresblokkering door clientnetwerken voornamelijk door het gebruik van meerdere statische IP-adressen en fouttolerante routering over geïsoleerde netwerkzones. Aan elke wereldwijde versneller is twee statische IPv4-adressen toegewezen (of vier voor versnellers met dubbele stapels), die elke cast zijn van het AWS Edge-netwerk en dienen als vaste toegangspunten voor klantenverkeer. Deze IP -adressen zijn afkomstig van unieke IP -subnetten in afzonderlijke netwerkzones, die redundantie bieden [10].
Als een clientnetwerk een van de statische IP -adressen blokkeert of als er een netwerkverstoring is die van invloed is op één IP, kunnen clienttoepassingen hun verbinding opnieuw proberen met het andere statische IP -adres vanuit een andere geïsoleerde netwerkzone. Dit ontwerp zorgt voor een hoge beschikbaarheid en fouttolerantie door het verkeer te laten worden geleid via een alternatief IP -adres dat niet is geblokkeerd of verstoord [3] [10].
Bovendien ondersteunt Global Accelerator "Breng uw eigen IP" (BYOIP), waardoor klanten hun eigen IP -adresbereiken kunnen gebruiken als statische toegangspunten. Dit kan helpen in scenario's waarbij klanten IP hebben die lijsten of beperkingen toestaan, omdat klanten IP's kunnen meenemen die al vertrouwd of op de hoogte zijn van klantnetwerken [2] [8].
Wat betreft het behoud van de client IP -adres, kan Global Accelerator het oorspronkelijke IP -adres van de client behouden wanneer het verkeer doorstuurt naar eindpunten zoals toepassingsbelastingsbalancers of netwerkbelastingsbalancers. Dit is belangrijk voor beveiligingsbedieningen zoals IP -filtering of firewallregels op het eindpuntniveau. Wanneer IP-conservering van de client is ingeschakeld, verschijnt de originele client-IP in headers (bijv. X-forward
Samenvattend vermindert Global Accelerator IP -adresblokkering door:
- Het verstrekken van twee statische IP -adressen van afzonderlijke netwerkzones om redundantie en fouttolerantie te garanderen. Als het ene IP wordt geblokkeerd, kan het verkeer op de andere [3] [10] worden verpakt.
- Klanten toestaan om hun eigen IP-adressen mee te nemen, die vooraf kunnen worden goedgekeurd of toegestaan door klantnetwerken [2] [8].
- Ondersteuning van client IP -adresbehoud, waardoor beveiligingsbeleid op het eindpunt wordt ingeschakeld om te filteren op basis van de originele client -IP in plaats van de IP -adressen van de versneller [1] [5] [7] [9].
Deze combinatie van statische IP -redundantie, BYOIP en client IP -conservering helpt connectiviteit te behouden en IP -blokkering door clientnetwerken effectief te beheren.
Citaten:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[2] https://aws.amazon.com/global-accelerator/features/
[3] https://aws.amazon.com/global-accelerator/faqs/
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securityGroup
[5] https://www.wafcharm.com/en/blog/how-to-apply-ip-filter-on-waf-to-access-from-aws-global-accelerator/
[6] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[7] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[8] https://cloudchipr.com/blog/aws-global-accelerator
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.ow-to-encenable-preservation.html
[10] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf