Az AWS Global Accelerator az IP-címek blokkolását az ügyfélhálózatokkal kezeli, elsősorban több statikus IP-cím és hibatűrő útválasztás segítségével az izolált hálózati zónákon keresztül. Minden globális gyorsítónak két statikus IPv4 címet (vagy négy a kettős verem-gyorsítóhoz) hozzárendelnek, amelyek az AWS Edge hálózatból származnak, és rögzített belépési pontokként szolgálnak az ügyfélforgalom számára. Ezek az IP -címek különálló hálózati zónákban található egyedi IP alhálózatokból származnak, redundanciát biztosítva [10].
Ha egy ügyfélhálózat blokkolja az egyik statikus IP -címet, vagy ha van egy IP -t érintő hálózati zavar, akkor az ügyfélalkalmazások újból megismételhetik kapcsolatukat a másik izolált hálózati zónából származó másik statikus IP -cím segítségével. Ez a kialakítás biztosítja a magas rendelkezésre állást és a hibatoleranciát azáltal, hogy lehetővé teszi a forgalmat egy alternatív IP -címen keresztül, amelyet nem blokkolnak vagy nem zavarnak [3] [10].
Ezenkívül a Global Accelerator támogatja a "Hozzátad a saját IP -jét" (BYOIP), lehetővé téve az ügyfelek számára, hogy statikus belépési pontként használják saját IP -címtartományukat. Ez segíthet olyan forgatókönyvekben, amikor az ügyfelek IP -t engedélyeznek vagy korlátozásokat engedélyeznek, mivel az ügyfelek olyan IPS -t hozhatnak, amelyet az ügyfélhálózatok már megbízhatóak vagy hirdetnek [2] [8].
Ami az ügyfél IP -címének megőrzését illeti, a Global Accelerator megőrizheti az eredeti ügyfél IP -címét, amikor a forgalmat olyan végpontokra továbbítja, mint például az alkalmazás -kiegyensúlyozók vagy a hálózati terheléselosztók. Ez fontos a biztonsági ellenőrzésekhez, például az IP -szűréshez vagy a tűzfalszabályokhoz a végpont szintjén. Ha az ügyfél IP-megőrzése engedélyezve van, az eredeti kliens IP a fejlécekben jelenik meg (például X-továbbítású), és látható az AWS WAF vagy a biztonsági csoportok számára, lehetővé téve a finomszemcsés hozzáférés-vezérlést az IP-k, nem pedig a globális gyorsító IPS-t [1] [5] [7] [9].
Összefoglalva: a globális gyorsító enyhíti az IP -címek blokkolását:
- Két statikus IP -cím biztosítása különálló hálózati zónákból a redundancia és a hibatolerancia biztosítása érdekében. Ha az egyik IP -t blokkolják, a másikon a forgalom megújítható [3] [10].
- lehetővé téve az ügyfelek számára, hogy saját IP-címüket hozzák be, amelyet előzetesen jóváhagyhatnak vagy megengedhetnek az ügyfélhálózatok [2] [8].
- Az ügyfél IP -címének megőrzésének támogatása, lehetővé téve a végpontban lévő biztonsági irányelvek számára, hogy az eredeti kliens IP -je alapján szűrjék, nem pedig a gyorsító IP -címei alapján [1] [5] [7] [9].
A statikus IP -redundancia, a BYOIP és az ügyfél IP -megőrzésének ez a kombinációja elősegíti a kapcsolat fenntarthatóságát és az IP -blokkolást az ügyfélhálózatokkal.
Idézetek:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[2] https://aws.amazon.com/global-accelerator/features/
[3] https://aws.amazon.com/global-accelerator/faqs/
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securityGroup
[5] https://www.wafcharm.com/en/blog/how-toply-ip-filter-on-waf-to-access-from-aws-global-accelerator/
[6] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[7] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[8] https://cloudchipr.com/blog/aws-global-accelerator
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.how-to-enable-preservation.html
[10] https://docs.aws.amazon.com/pdfs/global-ackelerator/latest/dg/global-ackelerator-guide.pdf