AWS Global Accelerator hanterar IP-adressblockering av klientnätverk främst genom dess användning av flera statiska IP-adresser och feltolerant routing över isolerade nätverkszoner. Varje global accelerator tilldelas två statiska IPv4-adresser (eller fyra för dubbla stack acceleratorer), som är anycast från AWS Edge-nätverket och fungerar som fasta ingångspunkter för klienttrafik. Dessa IP -adresser kommer från unika IP -undernät i separata nätverkszoner, vilket ger redundans [10].
Om ett klientnätverk blockerar en av de statiska IP -adresserna eller om det finns en nätverksstörning som påverkar en IP, kan klientapplikationer försöka försöka sin anslutning med den andra statiska IP -adressen från en annan isolerad nätverkszon. Denna design säkerställer hög tillgänglighet och feltolerans genom att låta trafiken dirigeras genom en alternativ IP -adress som inte är blockerad eller störd [3] [10].
Dessutom stöder Global Accelerator "Bring Your Own IP" (BYOIP), vilket gör att kunder kan använda sina egna IP -adressintervall som statiska ingångspunkter. Detta kan hjälpa till i scenarier där klienter har IP -tillåtna listor eller begränsningar, eftersom kunder kan ta med IPS som redan är betrodda eller vitlistade av klientnätverk [2] [8].
När det gäller konservering av klientens IP -adress kan Global Accelerator bevara den ursprungliga IP -adressen för klient vid vidarebefordran av trafik till slutpunkter som applikationsbelastningsbalanserare eller nätverksbelastningsbalanserare. Detta är viktigt för säkerhetskontroller som IP -filtrering eller brandväggsregler på slutpunktnivå. När klient-IP-konservering är aktiverad visas den ursprungliga klient-IP i rubriker (t.ex. X-Forwarded-For) och är synlig för AWS WAF eller säkerhetsgrupper, vilket möjliggör finkornig åtkomstkontroll baserat på klient IPS snarare än den globala accelerator-IP: erna [1] [5] [7] [9].
Sammanfattningsvis mildrar global accelerator IP -adressblockering av:
- Tillhandahålla två statiska IP -adresser från separata nätverkszoner för att säkerställa redundans och feltolerans. Om en IP är blockerad, kan trafiken testas på den andra [3] [10].
- tillåter kunder att ta med sina egna IP-adresser, som kan godkännas eller tillåtas av klientnätverk [2] [8].
- Stödande klient IP -adressbevarande, vilket möjliggör säkerhetspolicy vid slutpunkten att filtrera baserat på den ursprungliga klient -IP snarare än acceleratorens IP -adresser [1] [5] [7] [9].
Denna kombination av statisk IP -redundans, BYOIP och Client IP -konservering hjälper till att upprätthålla anslutning och hantera IP -blockering av klientnätverk effektivt.
Citeringar:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[2] https://aws.amazon.com/global-accelerator/features/
[3] https://aws.amazon.com/global-accelerator/faqs/
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securitygroup
[5] https://www.wafcharm.com/en/blog/how-to-apply-ip-filter-on-waf-to-access-from-aws-global-accelerator/
[6] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[7] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[8] https://cloudchipr.com/blog/aws-global-accelerator
]
[10] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf