AWS Global Accelerator apstrādā IP adreses bloķēšanu ar klientu tīkliem galvenokārt, izmantojot vairākas statiskas IP adreses un kļūdu izturīgu maršrutēšanu pa izolētām tīkla zonām. Katram globālajam akseleratoram tiek piešķirtas divas statiskās IPv4 adreses (vai četras divkāršās kaudzes paātrinātājiem), kas ir katra no AWS Edge tīkla un kalpo kā fiksēti klientu trafika ieejas punkti. Šīs IP adreses nāk no unikāliem IP apakštīkliem atsevišķās tīkla zonās, nodrošinot atlaišanu [10].
Ja klienta tīkls bloķē vienu no statiskajām IP adresēm vai ja ir tīkla traucējumi, kas ietekmē vienu IP, klienta lietojumprogrammas var atkārtot savienojumu, izmantojot otru statisko IP adresi no atšķirīgas izolētas tīkla zonas. Šis dizains nodrošina augstu pieejamību un kļūmju toleranci, ļaujot trafiku virzīt pa alternatīvu IP adresi, kas nav bloķēta vai traucēta [3] [10].
Turklāt globālais akselerators atbalsta "atnest savu IP" (BYOIP), ļaujot klientiem izmantot savus IP adreses diapazonus kā statiskus ieejas punktus. Tas var palīdzēt scenārijos, kad klientiem ir IP atļauts sarakstus vai ierobežojumus, jo klienti var atnest IP, kurus jau uzticas vai baltu sarakstu, ko klientu tīkli ir [2] [8].
Attiecībā uz klienta IP adreses saglabāšanu globālais akselerators var saglabāt sākotnējo klienta IP adresi, pārsūtot trafiku uz parametriem, piemēram, lietojumprogrammu slodzes līdzsvarotājiem vai tīkla slodzes līdzsvarotājiem. Tas ir svarīgi drošības kontrolei, piemēram, IP filtrēšanai vai ugunsmūra noteikumiem parametru līmenī. Kad ir iespējota klienta IP saglabāšana, sākotnējais klienta IP parādās galvenē (piemēram, X, kas pārsūtīts uz priekšu) un ir redzams AWS WAF vai drošības grupām, ļaujot smalkgraudainu piekļuves kontroli, pamatojoties uz klienta IP, nevis globālo paātrinātāja IP [1] [5] [7] [9].
Rezumējot, globālais akselerators mazina IP adreses bloķēšanu ar:
- Divu statisko IP adreses nodrošināšana no atsevišķām tīkla zonām, lai nodrošinātu atlaišanu un bojājumu toleranci. Ja viens IP ir bloķēts, trafiku var atkārtot otram [3] [10].
- ļaujot klientiem atnest savas IP adreses, kuras klientu tīkli var iepriekš apstiprināt vai atļaut [2] [8].
- Klienta IP adreses saglabāšanas atbalstīšana, drošības politikas iespējošana galapunkta filtrā, pamatojoties uz sākotnējo klienta IP, nevis akseleratora IP adresēm [1] [5] [7] [9].
Šī statiskās IP atlaišanas, BYOIP un klienta IP saglabāšanas kombinācija palīdz saglabāt savienojamību un efektīvi pārvaldīt IP bloķēšanu ar klientu tīkliem.
Atsauces:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[2] https://aws.amazon.com/global-accelerator/features/
[3] https://aws.amazon.com/global-accelerator/faqs/
.
[5] https://www.wafcharm.com/en/blog/how-to-aply-ip-filter-on-waf-to-access-from-aws-global-accelerator/
[6] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[7] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[8] https://cloudchipr.com/blog/aws-global-accelerator
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.how-to-enable-reservation.html
[10] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf