华为防火墙关于GOOGLE应用商店无法下载文件的处理及流量优化

Google Play App（以及其后台服务）在运行时会调用大量 Google 自有域名，用于应用浏览、下载、鉴权、统计、云消息等场景。综合近期资料，可把这些域名按“必须放行”和“按需放行”两级整理如下，方便防火墙/代理白名单配置。

一、必须放行（无替代 CDN，阻断即闪退或无法下载）

1. play.google.com – 商店首页、搜索、详情页、购买页

2. android.clients.google.com – 检查更新、拉取应用列表、下载令牌

3. android.l.google.com – 下载二进制 APK/OBB 文件（复用同一证书，IP 池与 1.2. 类似）

4. *.googleapis.com – 所有 Google API 入口，Play 接口也走这里 • play.googleapis.com • androidenterprise.googleapis.com • firebaseappcheck.googleapis.com（部分游戏/付费验证）

5. accounts.google.com – 登录、OAuth、Token 刷新

6. ssl.gstatic.com / www.gstatic.com – 通用静态 JS/字体/图标

7. fonts.gstatic.com – 界面字体

8. www.google.com / google.com – 通用跳转、短链、TOS 等

9. safebrowsing.google.com – 恶意软件/网址黑名单校验

10. *.googleusercontent.com – 用户头像、评论图片、开发者网站图标等

二、按需放行（国内常走专用 CDN，海外走同一证书 IP）

1. services.googleapis.cn – 国行手机或国产 ROM 默认解析到北京节点；若解析到 203.208.x.x 失败，可强制走代理解析到海外 IP l3zc.com

2. *.xn--ngstr-lra8j.com（形如 rr1---sn-ni5on-j5o8.xn--ngstr-lra8j.com） – 国内 CDN 边缘节点，用于 APK 分片下载；若节点 IP 被封锁，可整域放行或强制代理 l3zc.com

3. play-lh.googleusercontent.com – 应用截图/视频/图标高分辨率图片

4. firebase.googleapis.com / *.firebaseapp.com – 若应用使用 Firebase 远程配置、Crashlytics、App Distribution

5. dl.google.com – 少量 Google 官方独立安装包（如 GMS 升级包）

6. update.googleapis.com – 后台静默升级 Google 组件

7. connectivitycheck.gstatic.com / clients3.google.com – Android 系统网络检测，阻断不会导致商店不可用，但状态栏会提示“网络受限”

根据以上配置防火墙策略路由。

添加域名组google_domain

*.clients6.google.com *.googletagservices.com *.corp.google.com *.googleusercontent.com *.google.com *.googleapis.com *.google-analytics.com *.googletagmanager.com *.googlesyndication.com *.google.com.hk *.googlevideo.com accounts.google.com.hk *.adtrafficquality.google deepmind.google *.google.dev *.gstatic.com play.googleapis.com play-lh.googleusercontent.com csp.withgoogle.com services.googleapis.cn *.xn--ngstr-lra8j.com *.ytimg.com

以华为防火墙为例，还在开启dns透明代理

并给以上域名配置指写dns服务器ip来解析

配置代理策略

分别添加基于域名和应用的策略路由让从sdwan线路出，只配置域名路由会出现应用无法下载现象，需同时配置基于应用的策略路由（GOOGLE_PLAY即可，图片是把其他应用也顺便放行了）

安全策略可以配置哪些ip能访问GOOGLE,请根据实际需要配置。

流量优化,通过会话查GOOGLE_PLAY应用，测试目的ip如果在国内可以直接访问再建个基于ip的策略路由走国内专线访问，节省国际专线访问流量。

可以在手机断开wifi使用4g流量来进行测试，能用tcping能正常访问的ip就放国内专线访问。

有好多好多ip其实是可以用国内专线直接访问的，不过这需要大量时间去处理，优化路由。

这里有个注意要点：在科研单位或搞互联网开发的公司，很多人会从这个storage.googleapis.com域名下载数据，这个域名在国内是可正常访问的，而且数据下载量特别大。千万不要把*.storage.googleapis.com直接放sdwan出去，分分秒秒拉满线路。