AWS Global Accelerator obravnava blokiranje naslovov IP s pomočjo odjemalskih omrežij predvsem z uporabo več statičnih naslovov IP in usmerjanja napak v izoliranih omrežnih conah. Vsak globalni pospeševalnik je dodeljen dva statična naslova IPv4 (ali štiri za dvojne pospeševalnike), ki sta izdana iz omrežja AWS Edge in služijo kot fiksne vstopne točke za promet stranke. Ti naslovi IP prihajajo iz edinstvenih podomrež IP v ločenih omrežnih conah, kar zagotavlja odpuščanje [10].
Če odjemalsko omrežje blokira enega od statičnih IP naslovov ali če obstaja omrežna motnja, ki vpliva na en IP, lahko odjemalske aplikacije ponovno ponovno ponovno vzpostavite svojo povezavo z drugim statičnim IP naslovom iz drugega izoliranega omrežnega območja. Ta zasnova zagotavlja visoko razpoložljivost in toleranco na napake, saj omogoča usmerjanje prometa z nadomestnim IP naslovom, ki ni blokiran ali moten [3] [10].
Poleg tega Global Accelerator podpira "Prinesite svoj IP" (BYOIP), kar strankam omogoča, da uporabljajo svoje lastne razporede IP naslova kot statične vstopne točke. To lahko pomaga v scenarijih, ko imajo stranke IP dovoljene sezname ali omejitve, saj lahko stranke prinesejo IPS, ki jim je omrežja odjemalcev že zaupana ali na voljo [2] [8].
Kar zadeva ohranjanje naslova IP odjemalca, lahko globalni pospeševalnik ohrani izvirni IP naslov odjemalca pri posredovanju prometa na končne točke, kot so uravnoteže nalaganja aplikacij ali uravnoteževalci omrežja. To je pomembno za varnostne kontrole, kot so filtriranje IP ali pravila požarnega zidu na končni ravni. Ko je omogočeno ohranjanje IP-ja odjemalca, se izvirni odjemalski IP pojavi v glavah (npr. X-ForwardEd-for) in je viden za AWS WAF ali varnostnim skupinam, ki omogoča natančno zrnat nadzor dostopa na podlagi IP-jev odjemalca in ne na IPS globalnega pospeševalnika [1] [5] [7] [9].
Če povzamemo, globalni pospeševalnik blaži blokiranje naslova IP z:
- Zagotavljanje dveh statičnih naslovov IP iz ločenih omrežnih con za zagotovitev odpuščanja in tolerance na napake. Če je en IP blokiran, se lahko promet ponovno odpravi na drugi [3] [10].
- Omogočanje strankam, da prinesejo svoje lastne naslove IP, ki jih lahko predhodno odobrimo ali dovolijo omrežja odjemalcev [2] [8].
- Podpira ohranjanje naslovov IP odjemalca, ki omogočajo varnostne pravilnike na končni točki filtriranje na podlagi izvirnega IP -ja odjemalca in ne na IP naslovih IP [1] [5] [7] [9].
Ta kombinacija statične odpuščanja IP, BYOIP in odjemalskega ohranjanja IP pomaga ohranjati povezljivost in učinkovito upravljati blokiranje IP s pomočjo odjemalskih omrežij.
Navedbe:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[2] https://aws.amazon.com/global-accelerator/features/
[3] https://aws.amazon.com/global-accelerator/faqs/
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securityGroup
[5] https://www.wafcharm.com/sl/blog/how-to-apply-ip-filter-on-waf-to-access-from-aws-global-accelerator/
[6] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[7] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[8] https://cloudchipr.com/blog/aws-global-cecelerator
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.how-to-enable-preservation.html
[10] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf