如何为名称添加防火墙规则而不影响性能?

如何为名称添加防火墙规则而不影响性能?

我有一个内部应用程序位于防火墙后面,需要通过 FTP 将一些文件传输到 uploads.google.com。我要求我们的网络/系统管理员创建一条规则来允许它,他们根据 uploads.google.com 的 IP 这样做了。

然而,Google 会不时更改该名称的 IP 地址,当他们这样做时,该规则显然会停止起作用。

我告诉他们(管理员)使用名称而不是 IP 地址,他们说如果在允许数据包出去之前必须解析名称,那么防火墙的性能损失会太大。

我不是基础设施人员,但我很确定有一种方法可以将名称的 IP 缓存一段时间,以防止一直查询 DNS 或类似情况,因此:我有什么选择可以解决这个问题并让他们满意?

多谢

答案1

假如说:

  1. 防火墙有一个 DNS 客户端,可以将名称解析为 IP 地址

  2. 上述 DNS 客户端可以缓存 DNS 查找的结果

  3. 一旦名称被解析并缓存,后续数据包就可以直接传输,而不必为每个出站数据包解析名称,直到缓存记录的 TTL 过期,需要重新查找

我不明白这怎么会对防火墙造成如此大的性能负载(尽管您没有说明您正在处理的防火墙的品牌/型号)。

答案2

获取 downloads.google.com 的当前 IP 地址,并在内部 DNS 中添加静态条目。然后,您可以始终使用相同的 IP 访问 Google 的服务。现在,IP 会因负载平衡和其他原因而轮换,但您应该没问题。您可以获取一些 IP 的列表,并让 FW 管理员将其中一些添加到规则中,然后您只需在内部更改 IP。

相关内容