如果必须按域而不是IP启用
站点,它是否通常会影响防火墙的
性能?上下文是我们有一个在Google Appengine上运行的应用程序(没有固定的IP),并且潜在客户的IT
功能提出了一个问题,即为我们的应用程序打开防火墙将意味着他们必须对每个数据包执行反向DNS
查询如果他们启用了我们域名的流量.我无法想象这是一个独特的情况,如果这是一个普遍的问题,如每个域启用或特定于他们所做的技术选择,我会徘徊.
谢谢
这里有两种选择:
>防火墙会在每个新流上反转DNS.是的,这里的表现会很差,可能真的很糟糕.
>防火墙将在启动时或按计划执行反向DNS.性能应该没问题,但如果该计划与AppEngine移动不一致,您将遇到同样的问题.
我的经历完全属于后者,但我相信前者存在.请记住,传入的数据包上没有域名,只有IP.这意味着需要查找每个数据包或流以查看它是否与规则匹配.性能不是很好的配方.