Kereslet
A backend szolgáltatási port nem engedi a felhasználók közvetlen hozzáférését, például az 80, 443:3389 stb., és csak az Alibaba Cloud SLB terheléselosztóján keresztül engedi a hozzáférést. Mivel az ECS SLB-t használ nyilvános hálózati továbbításra és betöltésre, a felhasználóknak nem kell hozzáférniük az ECS nyilvános hálózati címéhez, így a biztonsági csoportszabályokat úgy konfigurálják, hogy megakadályozzák a felhasználók közvetlen hozzáférését az ECS címhez.
Megoldás:
A terheléskiosztó IP-címblokkoja, 100.64.0.0/10 (a 100.64.0.0/10 az Alibaba Cloud fenntartott címe, és más felhasználók nem rendelhetők hozzá ehhez a hálózati blokkhoz, így nincs biztonsági kockázat), valamint az Anti-Pro IP-címblokkoja nem jelent biztonsági kockázatot.
Hivatkozási cím:
A hiperlink bejelentkezés látható.
A hiperlink bejelentkezés látható.
Ekkor az IP-cím, amely 100.64-től kezd, megfelel a címblokknak: 100.64.0.0/10, a címtartomány 100.64.0.0~100.127.255.255, összesen 4 194 304 IP-címet tartalmaz, ezt a fenntartott címet az intranet esetében is használják, de ez az intranet nem általános intranet, hanem szolgáltató szintű NAT, és az angol fordítás "carrier-grade NAT". További keresés kiderült, hogy az RFC 6598 (IANA-Reserved IPv4 Prefix for Shared Address Space) 2012 áprilisában a 100.64.0.0/10 (Shared Address Space) címblokkot használja a szolgáltató internetszolgáltatók számára:
NetRange: 100.64.0.0 - 100.127.255.255
CIDR: 100.64.0.0/10
OriginAS:
NetName: SHARED-ADDRESS-SPACE-RFCTBD-IANA-RESERVED
NetHandle: NET-100-64-0-0-1
Parent: NET-100-0-0-0-0
NetType: IANA Special Use 
Jegyzet:Először engedélyezned kell az SLB-knek az ECS-hez való hozzáférést (prioritás 1), majd létre kell hozni egy általános szabályt (prioritás 2), amely más kapcsolatokat megtagad.
|
Közzétéve 2020. 07. 18. 17:36:52
|
|
|
|
