Tăng tốc toàn cầu AWS xử lý chặn địa chỉ IP bởi các mạng máy khách chủ yếu thông qua việc sử dụng nhiều địa chỉ IP tĩnh và định tuyến chịu lỗi trên các vùng mạng bị cô lập. Mỗi máy gia tốc toàn cầu được chỉ định hai địa chỉ IPv4 tĩnh (hoặc bốn địa chỉ cho máy gia tốc kép), là bất kỳ từ mạng AWS Edge và đóng vai trò là điểm nhập cố định cho lưu lượng khách hàng. Các địa chỉ IP này đến từ các mạng con IP duy nhất trong các vùng mạng riêng biệt, cung cấp dự phòng [10].
Nếu mạng máy khách chặn một trong các địa chỉ IP tĩnh hoặc nếu có sự gián đoạn mạng ảnh hưởng đến một IP, các ứng dụng khách có thể thử lại kết nối của họ bằng địa chỉ IP tĩnh khác từ một vùng mạng bị cô lập khác. Thiết kế này đảm bảo tính khả dụng cao và dung sai lỗi bằng cách cho phép lưu lượng truy cập được định tuyến qua một địa chỉ IP thay thế không bị chặn hoặc bị phá vỡ [3] [10].
Ngoài ra, Global Accelerator hỗ trợ "Mang theo IP của riêng bạn" (BYOIP), cho phép khách hàng sử dụng phạm vi địa chỉ IP của riêng họ làm điểm nhập tĩnh. Điều này có thể giúp trong các kịch bản trong đó khách hàng cho phép IP cho phép danh sách hoặc hạn chế, vì khách hàng có thể mang các IP đã được tin cậy hoặc danh sách trắng bởi các mạng máy khách [2] [8].
Về bảo quản địa chỉ IP của máy khách, Trình tăng tốc toàn cầu có thể bảo tồn địa chỉ IP máy khách ban đầu khi chuyển tiếp lưu lượng truy cập đến các điểm cuối như bộ cân bằng tải ứng dụng hoặc bộ cân bằng tải mạng. Điều này rất quan trọng đối với các điều khiển bảo mật như lọc IP hoặc quy tắc tường lửa ở cấp điểm cuối. Khi bảo quản IP của máy khách được bật, IP máy khách ban đầu sẽ xuất hiện trong các tiêu đề (ví dụ: X-Forwarded-For) và có thể hiển thị cho AWS WAF hoặc các nhóm bảo mật, cho phép điều khiển truy cập chi tiết dựa trên IP của máy khách thay vì IPS AWS ACTERATOR [1] [5] [7] [9].
Tóm lại, máy gia tốc toàn cầu giảm thiểu việc chặn địa chỉ IP bằng cách:
- Cung cấp hai địa chỉ IP tĩnh từ các vùng mạng riêng biệt để đảm bảo dự phòng và dung sai lỗi. Nếu một IP bị chặn, lưu lượng truy cập có thể được thử lại trên cái kia [3] [10].
- Cho phép khách hàng mang địa chỉ IP của riêng họ, có thể được các mạng khách hàng phê duyệt hoặc cho phép [2] [8].
- Hỗ trợ bảo quản địa chỉ IP của máy khách, cho phép các chính sách bảo mật tại điểm cuối để lọc dựa trên IP máy khách ban đầu thay vì địa chỉ IP của máy gia tốc [1] [5] [7] [9].
Sự kết hợp giữa dự phòng IP tĩnh, BYOIP và bảo quản IP của máy khách giúp duy trì kết nối và quản lý chặn IP bằng các mạng máy khách một cách hiệu quả.
Trích dẫn:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[2] https://aws.amazon.com/global-accelerator/features/
[3] https://aws.amazon.com/global-accelerator/faqs/
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securitygroup
.
[6] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[7] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[8] https://cloudchipr.com/blog/aws-global-accelerator
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.how-to-enable-preservation.html
[10] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf