AWS Global Accelerator håndterer IP-adresseblokkering av klientnettverk først og fremst gjennom bruk av flere statiske IP-adresser og feiltolerant ruting på tvers av isolerte nettverkssoner. Hver globale akselerator tildeles to statiske IPv4-adresser (eller fire for akseleratorer med dobbeltstab), som er Anycast fra AWS Edge Network og fungerer som faste inngangspunkter for klienttrafikk. Disse IP -adressene kommer fra unike IP -undernett i separate nettverkssoner, og gir redundans [10].
Hvis et klientnettverk blokkerer en av de statiske IP -adressene, eller hvis det er en nettverksforstyrrelse som påvirker en IP, kan klientapplikasjoner prøve på nytt ved hjelp av den andre statiske IP -adressen fra en annen isolert nettverkssone. Denne utformingen sikrer høy tilgjengelighet og feiltoleranse ved å la trafikken bli dirigert gjennom en alternativ IP -adresse som ikke er blokkert eller forstyrret [3] [10].
I tillegg støtter Global Accelerator "Bring Your Own IP" (BYOIP), slik at kundene kan bruke sine egne IP -adresserier som statiske inngangspunkter. Dette kan hjelpe i scenarier der klienter har IP tillater lister eller begrensninger, ettersom kunder kan bringe IP -er som allerede er klarert eller hviteliste av klientnettverk [2] [8].
Når det gjelder bevaring av klienter, kan Global Accelerator bevare den opprinnelige klient -IP -adressen når du videresender trafikk til sluttpunkter som applikasjonsbelastningsbalanser eller nettverksbelastningsbalanser. Dette er viktig for sikkerhetskontroller som IP -filtrering eller brannmurregler på endepunktnivå. Når klient-IP-bevaring er aktivert, vises den opprinnelige klient-IP-en i overskrifter (f.eks. X-fremover-for) og er synlig for AWS WAF eller sikkerhetsgrupper, noe som tillater finkornet tilgangskontroll basert på klient IP-er i stedet for den globale gasspedalen IPS [1] [5] [7] [9].
Oppsummert demper global akselerator IP -adresse som blokkerer av:
- Gi to statiske IP -adresser fra separate nettverkssoner for å sikre redundans og feiltoleranse. Hvis den ene IP -en er blokkert, kan trafikken på nytt på den andre [3] [10].
- Å tillate kunder å ta med sine egne IP-adresser, som kan forhåndsgodkjenne eller tillate av klientnettverk [2] [8].
- Støttende bevaring av klienter i IP -adresse, som muliggjør sikkerhetspolicyer på endepunktet å filteret basert på den opprinnelige klienten IP i stedet for gasspedalens IP -adresser [1] [5] [7] [9].
Denne kombinasjonen av statisk IP -redundans, BYOIP og klient IP -bevaring er med på å opprettholde tilkobling og administrere IP -blokkering av klientnettverk effektivt.
Sitasjoner:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[2] https://aws.amazon.com/global-accelerator/features/
[3] https://aws.amazon.com/global-accelerator/faqs/
[4] https://repost.aws/knowledge-center/globalaccelerator-bimit-endpoint-access-fi-securityGroup
[5] https://www.wafcharm.com/en/blog/how-to-apply-ip-filter-on-waf-to-access-from-aws-global-accelerator/
[6] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[7] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[8] https://cloudchipr.com/blog/aws-global-accelerator
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.how-to-eable-preservation.html
[10] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf