阿里云配置ECS只允许从SLB负载均衡访问

小渣渣

需求

后端服务端口不允许用户直接访问，例如：80、443：3389等，只允许通过阿里云的SLB负载均衡进行访问。因 ECS 使用 SLB 进行公网转发及负载，因此无需用户通过 ECS 外网地址进行访问，因此配置安全组规则进行拦截用户直接访问 ECS 地址。

解决方案：

负载均衡的IP地址段100.64.0.0/10（100.64.0.0/10 是阿里云保留地址，其他用户无法分配到该网段内，不会存在安全风险）和高防IP地址段。

参考地址：

https://help.aliyun.com/document_detail/85958.html
https://help.aliyun.com/document_detail/54007.html

那么100.64打头的IP地址对应地址块为100.64.0.0/10，地址范围为100.64.0.0~100.127.255.255，共包含有4,194,304个IP地址，这个保留地址也是用于内网，但是这个内网不是一般内网而是Carrier-grade NAT，这个英文对应的翻译是“运营商级NAT”。进一步搜索得知2012年4月的 RFC 6598 (IANA-Reserved IPv4 Prefix for Shared Address Space) 将100.64.0.0/10 (Shared Address Space) 地址块，用于给运营商ISP使用：

NetRange:       100.64.0.0 - 100.127.255.255
CIDR:           100.64.0.0/10
OriginAS:
NetName:        SHARED-ADDRESS-SPACE-RFCTBD-IANA-RESERVED
NetHandle:      NET-100-64-0-0-1
Parent:         NET-100-0-0-0-0
NetType:        IANA Special Use

注意：需要优先允许 SLB 访问 ECS （优先级1），然后创建通用规则（优先级2），拒绝其他连接。