ポート・スキャンで予期したよりも多くの開いているポートが表示されるのはなぜですか?

Code Engine コンポーネントのエンドポイントでポート・スキャンを実行すると、予想より多くのオープン・ネットワーク・ポートが結果に含まれます。

HTTP を使用する着信接続の場合、トランスポート層セキュリティー (TLS) の側面は、アプリケーション・コードの外部で Code Engine によって自動的に管理されます。 具体的には、 Code Engine は、 IBM Cloudで Cloud Internet Services (CIS) を使用します。これは CloudFlareに基づいており、侵入防止システム (DDIPS) としています。 つまり、IPS で確立された TCP/IP 接続は、Cloudflare によって所有および管理されます。

Code Engine では、レイヤー 3、レイヤー 4、およびレイヤー 7 のアプリケーション・エンドポイントのポート 443 (HTTPS) と 80 (HTTP) のみが公開されます。 その結果、Cloudflare によって開かれる他のポートは使用されず、アプリケーションにルーティングされません。 スキャン・ツールが 443 および 80 以外のオープン・ポートを報告する場合、スキャン・ツールは Cloudflare IP をスキャンし、 Code Engine アプリケーション・エンドポイントはスキャンしません。

この問題を解決するには、 80 および 443 以外のポートでネットワーク・トラフィックをブロックすることを検討してください。 詳しくは、 Cloudflare の資料 を参照してください。

Cloudflare には大規模なインフラストラクチャーがあり、世界中のトラフィックにサービスを提供するために、クライアント・ロケーションに応じて IP アドレスを解決します。 Cloudflare の IP 範囲について詳しくは、 Cloudflare の資料-IP 範囲を参照してください。

Code Engine アプリケーションの即時 DDOS 保護については、 DDoS 保護 を参照してください。