AWS - IP Белый список и перенаправление пути

Question

AWS - IP Белый список и перенаправление пути

Я новичок в AWS и в настоящее время пытаюсь реализовать следующее.

У меня есть сервер API, который находится в экземпляре EC2. Я хотел бы реализовать некоторый механизм фильтрации и перенаправления для 2 наборов клиентов:

Public.
Клиенты с определенным диапазоном IP.

То, что я хочу, это разрешить публичный доступ каждому и быть перенаправленным на /public когда они получают доступ к моему серверу. В то время как конкретные клиенты будут перенаправлены на /specific когда они получают доступ к моему серверу. Общедоступные клиенты не будут иметь доступа /specific поскольку он предназначен только для конкретных клиентов с определенными IP-адресами, однако должно быть возможно обратное - конкретным клиентам должен быть разрешен доступ к /public,

Я считаю, что перенаправление части возможно с использованием целевых групп + балансировщик нагрузки приложения. Я также подумал об использовании Nginx, однако я не уверен, куда идти дальше.

1

amazon-web-services load-balancing whitelist routes

Источник

Ryklon Zen 25 фев '19 в 08:40

1 ответ

Другие вопросы по тегам amazon-web-services load-balancing whitelist routes

Michael - sqlbot 26 фев '19 в 03:00 2019-02-26 03:00 · Answer 1 · 2019-02-26 03:00

Брандмауэр веб-приложений (WAF) может подключаться к ALB и разрешать или отклонять определенные запросы на основе анализа правил, например, IP-адрес или путь клиента (или их комбинацию), но ограничен разрешением или отклонением запросов (или "подсчетом" их). - для таких целей, как проверка соответствия правила без его фактического применения).

Таким образом, при первоначальном чтении вашего вопроса вы не можете делать это с помощью всего лишь ALB (или ALB+WAF) - вы не можете выборочно перенаправить или изменить направление трафика (целевые группы используют статические правила для хоста и / или или шаблоны путей, и эти правила не взаимодействуют с правилами WAF - эти правила применяются только к трафику, который WAF решил разрешить).

Однако, если просто запретить доступ к определенным путям, например (например) /specific а также /specific/* для клиентов, которых нет в списке разрешенных, достаточно, тогда ALB может сделать это с помощью WAF.

Это не обязательно ясно из маркетинговых материалов, но WAF - это не совсем отдельный сервис, в том смысле, что нет реального устройства или платформы брандмауэра, через который всегда проходит весь ваш трафик, и его нельзя использовать. все само по себе. WAF, по сути, является дополнительной функцией ALB, CloudFront и API Gateway, где перехватчик во внешнем интерфейсе этих служб отправляет первый полный буфер каждого запроса на анализ, а WAF на основании ваших правил принимает решение сообщить -конец либо разрешить, либо отклонить каждый запрос.