我有一个网站,它通过 AWS S3 提供用户生成的内容。
我有一个客户想在防火墙后面使用我们的网站。
他们要求我为 S3 内容提供一个静态 IP 地址,但我无法做到。
但是,我的所有 S3 内容均由三个域之一提供。
客户告诉我,他们无法从防火墙解除对域名的阻止,只能解除对 IP 地址的阻止。
这对我来说没什么意义。诚然,我是一名 Web 开发人员,而不是网络技术人员,但我可以在家里的基本防火墙上解除对域名的阻止。
客户还试图暗示我是唯一一家使用动态 IP 地址的网站。我向他保证事实并非如此。不幸的是,与我交谈的这个人只是我和某位负责操作防火墙和网络的网络技术人员之间的中间人。
在我告诉那个人解除域名封锁应该相当简单之后的一周,我收到了一封电子邮件,其中详细介绍了某个使用 IPTables 扫描每个数据包标头的系统。他们的网络技术人员的建议似乎非常复杂,除其他事项外,他希望“找到一个工具或库,让我能够将亚马逊发布的包含其所有 AWS IP 地址的 json 文件解析为简单的文本文件,以便与 IP 表一起使用”。
我不是网络专家,所以有人可以在这里给我解释一下吗?
我是否过分简化了情况,我认为域名可以在防火墙上“解除阻止”是错误的吗?
答案1
客户端不应该纠结于 IP 地址,因为这些地址会随着您扩展到较新的硬件等而随着时间而改变(即使您没有使用云托管平台,例如 AWS)。
也就是说,对于硬件防火墙(不是协议感知的,一些可能是,但听起来好像你的客户不是),它只是被设置为允许从一个网络范围到另一个网络范围的流量(例如,从他们的内部网络到你的网络服务器) - 在这个级别上没有域名的概念,就像电话号码一样可能在一个房子的居民之间共享一个 IP 地址可能在服务器上的许多网站(及其各自的域)之间共享。
它可能您的客户端最好使用 HTTP 代理来强制对 HTTP 请求进行访问控制 - 有很多产品,例如网页设计,但这些服务在算法的准确性方面存在局限性。