如果防火墙必须通过域而不是 IP 启用站点,这通常会影响防火墙的性能吗?背景是我们有一个在 Google Appengine 上运行的应用程序(没有固定 IP),潜在客户的 IT 部门提出了一个问题,即为我们的应用程序打开防火墙意味着如果他们启用到我们域的流量,他们必须对每个数据包进行反向 DNS 查找。我无法想象这是一种独特的情况,我想知道这是每个域启用的普遍问题还是他们所做技术选择的特定问题。
谢谢
答案1
这里有两个选择:
- 防火墙会对每个新流量执行反向 DNS。是的,这里的性能会很差,可能非常差。
- 防火墙将在启动时或按照某个计划执行反向 DNS。性能应该不错,但如果该计划与 AppEngine 的移动不一致,您也会遇到同样的问题。
我的经验完全属于后一种类型,但我相信前一种类型是存在的。请记住,传入的数据包没有域名,只有 IP。这意味着每一个需要查找数据包或流以查看其是否与规则匹配。这对性能来说不是一个好办法。
答案2
不要这样做。按域设置防火墙本质上是有缺陷的,并且会增加复杂性,而且安全性很低甚至没有安全性。
如果你依赖 Google 身份验证,那么没有防火墙规则会更好: