Nachfrage
Der Backend-Service-Port erlaubt es den Nutzern nicht, direkt darauf zuzugreifen, wie z. B. 80, 443:3389 usw., und erlaubt nur Zugriff über den SLB-Load Balancer von Alibaba Cloud. Da ECS SLB für öffentliche Netzwerkweiterleitung und -belastung verwendet, müssen Benutzer nicht auf die öffentliche ECS-Netzwerkadresse zugreifen, daher werden Sicherheitsgruppenregeln so konfiguriert, dass Benutzer den direkten Zugriff auf die ECS-Adresse verhindern.
Lösung:
Der IP-Adressblock des Load Balancers, 100.64.0.0/10 (100.64.0.0/10 ist die reservierte Adresse von Alibaba Cloud, und andere Benutzer können diesem Netzwerkblock nicht zugewiesen werden, sodass kein Sicherheitsrisiko besteht) und der IP-Adressblock von Anti-Pro stellt kein Sicherheitsrisiko dar.
Referenzadresse:
Der Hyperlink-Login ist sichtbar.
Der Hyperlink-Login ist sichtbar.
Dann entspricht die IP-Adresse, die mit 100.64 beginnt, dem Adressblock 100.64.0.0/10, der Adressbereich ist 100.64.0.0~100.127.255.255, mit insgesamt 4.194.304 IP-Adressen, diese reservierte Adresse wird auch für das Intranet verwendet, aber dieses Intranet ist kein allgemeines Intranet, sondern ein carrier-grade NAT, und die entsprechende englische Übersetzung lautet "carrier-grade NAT". Weitere Recherchen ergaben, dass RFC 6598 (IANA-Reserved IPv4 Prefix for Shared Address Space) vom April 2012 den Adressblock 100.64.0.0/10 (Shared Address Space) für Carrier-ISPs verwendet:
NetRange: 100.64.0.0 - 100.127.255.255
CIDR: 100.64.0.0/10
OriginAS:
NetName: SHARED-ADDRESS-SPACE-RFCTBD-IANA-RESERVED
NetHandle: NET-100-64-0-0-1
Parent: NET-100-0-0-0-0
NetType: IANA Special Use 
Anmerkung:Du musst SLBs zuerst den Zugriff auf ECS erlauben (Priorität 1) und dann eine generische Regel (Priorität 2) erstellen, um andere Verbindungen zu verweigern.
|
Veröffentlicht am 18.07.2020 17:36:52
|
|
|
|
