我们的网站正在被一个客户端访问,该客户端的防火墙设置了白名单 IP 地址而不是 FQDN/DNS 名称。问题是该网站使用谷歌的 CDN 来托管 jQuery 和 jQueryUI,而不是将它们存储在我们自己的服务器上。
问题在于,ping google.com(及其其他变体)会根据您的位置返回不同的 IP 地址。
有没有办法获取 Google CDN(或任何其他 CDN)的 IP 范围来帮助配置基于 IP 的防火墙?
答案1
他们的 ASN 是 15169;只需查找 BGP 表。
答案2
答案比 ASN 15169 复杂得多。首先,Google 有多个 ASN:
15169 Google Inc.
16591 Google Fiber Inc.
36039 Google Inc.
36040 Google Inc.
36384 Google Incorporated
36492 Google, Inc.
41264 Google Switzerland GmbH
其次,Google、Akamai 等使用其合作伙伴 ASN 的 IP 范围来托管内容。因此,如果您是时代华纳的客户,您可能会看到 Google CDN 内容来自您附近的服务器,该服务器的 IP 与时代华纳(通过 ASN)相关联,而不是与 Google 相关联。
毕竟,CDN 的全部意义在于高效地分发内容。
答案3
最终,我怀疑您的客户是否愿意将所有 Google ASN 列入白名单/解除阻止,因为它包含如此多的 IP 并且可以访问如此多的互联网。
这是 CDN 存在的问题,它们由数百甚至数千个服务器和 IP 组成。
限制兴趣访问的常规方法是使用防火墙规则,而不是在防火墙前面放置代理服务器,该代理服务器配置为允许或阻止所有或特定用户访问互联网/特定网站。使用此方法,您的客户端可以将主机名(例如 cdn.google.com)列入白名单,允许通过代理并解决您的问题,但如果他们坚持使用防火墙规则,您唯一的选择是允许所有 google IP,或者使用 IP 数量少得多的其他 CDN,例如 rackspace cloud files CDN。