Vraag
De backend-servicepoort staat gebruikers niet toe om er direct toegang toe te krijgen, zoals 80, 443:3389, enzovoort, en staat alleen toegang toe via de SLB-load balancer van Alibaba Cloud. Omdat ECS SLB gebruikt voor openbaar netwerkdoorsturen en -belasting, hoeven gebruikers geen toegang te krijgen tot het ECS publieke netwerkadres, dus zijn de regels van de beveiligingsgroepen zo geconfigureerd dat gebruikers niet direct toegang krijgen tot het ECS-adres.
Oplossing:
Het IP-adresblok van de load balancer, 100.64.0.0/10 (100.64.0.0/10 is het gereserveerde adres van Alibaba Cloud, en andere gebruikers kunnen niet aan dit netwerkblok worden toegewezen, dus er is geen beveiligingsrisico) en het IP-adresblok van Anti-Pro vormen geen beveiligingsrisico.
Referentieadres:
De hyperlink-login is zichtbaar.
De hyperlink-login is zichtbaar.
Dan is het IP-adres beginnend met 100.64 dat overeenkomt met het adresblok 100.64.0.0/10, het adresbereik is 100.64.0.0~100.127.255.255, met in totaal 4.194.304 IP-adressen, dit gereserveerde adres wordt ook gebruikt voor het intranet, maar dit intranet is geen algemeen intranet maar een carrier-grade NAT, en de overeenkomstige vertaling in het Engels is "carrier-grade NAT". Verder zoeken toonde aan dat RFC 6598 (IANA-Reserved IPv4 Prefix for Shared Address Space) van april 2012 het adresblok 100.64.0.0/10 (Shared Address Space) gebruikt voor carrier ISP's:
NetRange: 100.64.0.0 - 100.127.255.255
CIDR: 100.64.0.0/10
OriginAS:
NetName: SHARED-ADDRESS-SPACE-RFCTBD-IANA-RESERVED
NetHandle: NET-100-64-0-0-1
Parent: NET-100-0-0-0-0
NetType: IANA Special Use 
Notitie:Je moet SLB's eerst toegang geven tot ECS (prioriteit 1), en daarna een generieke regel maken (prioriteit 2) om andere verbindingen te weigeren.
|
Geplaatst op 18-07-2020 17:36:52
|
|
|
|
