在防火墙中,我是否必须写下我需要访问的 IP 地址。许多站点前面都有负载均衡器,所以我想为它找到IP。
如果我用google.com一个例子
$ nslookup google.com
Server: 172.24.1.131
Address: 172.24.1.131#53
Non-authoritative answer:
Name: google.com
Address: 216.58.207.206
Name: google.com
Address: 2a00:1450:400f:80b::200e
问题
216.58.207.206负载均衡器的IPgoogle.com还是负载均衡器后面的主机之一的 IP ?
如果是工作主机,如何找到负载均衡器的IP?
对于您进行 DNS 查询的这个特定时间点,是的,
216.58.207.206是您的 broser 将在您访问时连接的 IP 地址google.com。不管是负载均衡器还是真正的 Web 服务器,它仍然是您需要允许的地址。但是,一般而言,仅允许特定 IP 地址不适用于一般互联网。
cnn.com使 Web 服务器从 30 多个域中获取资源。为了在防火墙中创建有效的允许列表,您需要编写软件来持续监控允许的网站所需的所有资源。然后该软件将在防火墙配置中添加更新 IP 地址。
在实践中,通过 IP 地址允许现代网站是不可能的。
小型网站使用单个服务器或多个在其前面带有负载均衡器的服务器,但大型网站(如 Google、Microsoft 或 Facebook)将使用多种技术组合来提高可用性并从最近的地理位置为您的请求提供服务。
这在实践中意味着,当您查询这些站点的 DNS 时,您可以获得各种不同的 IP 地址来连接。
您需要一个防火墙,它可以根据请求的 URL 进行过滤并实施诸如“允许访问
google.com”之类的策略;如果您仅限于过滤 IP 地址,那么您根本无法跟上现代大型网站/服务的步伐。