Etterspørsel
Backend-tjenesteporten tillater ikke brukere å få direkte tilgang, som for eksempel 80, 443:3389, osv., og tillater kun tilgang gjennom Alibaba Clouds SLB-lastbalanserer. Siden ECS bruker SLB for offentlig nettverksvideresending og belastning, trenger ikke brukere å få tilgang til ECS' offentlige nettverksadresse, så sikkerhetsgrupperegler er konfigurert for å blokkere brukere fra å få direkte tilgang til ECS-adressen.
Løsning:
IP-adresseblokken til lastbalansereren, 100.64.0.0/10 (100.64.0.0/10 er den reserverte adressen til Alibaba Cloud, og andre brukere kan ikke tilordnes denne nettverksblokken, så det er ingen sikkerhetsrisiko) og IP-adresseblokken til Anti-Pro utgjør ikke en sikkerhetsrisiko.
Referanseadresse:
Innloggingen med hyperkoblingen er synlig.
Innloggingen med hyperkoblingen er synlig.
Da tilsvarer IP-adressen som starter med 100.64 adresseblokken 100.64.0.0/10, adresseområdet er 100.64.0.0~100.127.255.255, med totalt 4 194 304 IP-adresser, denne reserverte adressen brukes også for intranettet, men dette intranettet er ikke et generelt intranett, men en carrier-grade NAT, og den tilsvarende oversettelsen på engelsk er "carrier-grade NAT". Videre søk viste at RFC 6598 (IANA-Reserved IPv4 Prefix for Shared Address Space) fra april 2012 bruker adresseblokken 100.64.0.0/10 (Shared Address Space) for operatør-ISP-er:
NetRange: 100.64.0.0 - 100.127.255.255
CIDR: 100.64.0.0/10
OriginAS:
NetName: SHARED-ADDRESS-SPACE-RFCTBD-IANA-RESERVED
NetHandle: NET-100-64-0-0-1
Parent: NET-100-0-0-0-0
NetType: IANA Special Use 
Notat:Du må tillate SLB-er å få tilgang til ECS først (prioritet 1), og deretter lage en generell regel (prioritet 2) for å nekte andre tilkoblinger.
|
Publisert på 18.07.2020 17:36:52
|
|
|
|
