Objekte mit vollqualifizierten Domainnamen (FQDN) enthalten Domainnamen, die Sie im Domainnamenformat angeben. Sie können FQDN-Objekte als Quellen für Regeln für eingehenden Traffic oder als Ziele für Regeln für ausgehenden Traffic in einer hierarchischen Firewallrichtlinie, einer globalen Netzwerk-Firewallrichtlinie oder einer regionalen Netzwerk-Firewallrichtlinie verwenden.
Sie können FQDNs mit anderen Parametern kombinieren. Weitere Informationen zu Kombinationen von Quellparametern in Regeln für eingehenden Traffic finden Sie unter Quellen für Regeln für eingehenden Traffic. Weitere Informationen zu Kombinationen von Zielparametern in Regeln für ausgehenden Traffic finden Sie unter Ziele für Regeln für ausgehenden Traffic.
FQDN-Objekte unterstützen Cloud DNS-Antwortrichtlinien, verwaltete private Zonen mit VPC-Netzwerkbereich, interne Compute Engine-DNS-Namen und öffentliche DNS-Zonen. Diese Unterstützung gilt, solange das VPC-Netzwerk (Virtual Private Cloud) keine Serverrichtlinie für ausgehenden Traffic hat, in der ein alternativer Nameserver angegeben ist. Weitere Informationen finden Sie unter Reihenfolge der VPC-Netzwerkauflösung.
FQDN-Objekte IP-Adressen zuordnen
Cloud Next Generation Firewall löst FQDN-Objekte regelmäßig in IP-Adressen auf. Cloud NGFW folgt der Reihenfolge der VPC-Namensauflösung von Cloud DNS im VPC-Netzwerk, das die Ziele der Firewallregel enthält.
Cloud NGFW verwendet das folgende Verhalten für die IP-Adressauflösung:
CNAME-Chasing unterstützen: Cloud NGFW verwendet CNAME-Chasing von Cloud DNS, wenn die Antwort auf eine FQDN-Objektanfrage ein CNAME-Eintrag ist.
IP-Adressen für das Programm Cloud NGFW verwendet die aufgelösten IP-Adressen, wenn die Firewallregeln programmiert werden, in denen FQDN-Objekte verwendet werden. Jedes FQDN-Objekt kann maximal 32 IPv4-Adressen und 32 IPv6-Adressen zugeordnet werden.
Wenn die DNS-Antwort für eine FQDN-Objektanfrage in mehr als 32 IPv4-Adressen oder mehr als 32 IPv6-Adressen aufgelöst wird, beschränkt Cloud NGFW die programmierten IP-Adressen in den Firewallregeln auf die ersten 32 IPv4-Adressen und die ersten 32 IPv6-Adressen.
FQDN-Objekte ignorieren: Wenn Cloud NGFW ein FQDN-Objekt nicht in eine IP-Adresse auflösen kann, wird das FQDN-Objekt ignoriert. In den folgenden Situationen ignoriert Cloud NGFW ein FQDN-Objekt:
Wenn
NXDOMAINAntworten eingegangen sind.NXDOMAIN-Antworten sind explizite Antworten von einem Nameserver, die angeben, dass kein DNS-Eintrag für die FQDN-Objektanfrage vorhanden ist.Wenn in einer Antwort keine IP-Adresse vorhanden ist. In diesem Fall führt eine FQDN-Objektanfrage nicht zu einer Antwort mit einer IP-Adresse, die Cloud NGFW zum Programmieren einer Firewallregel verwenden kann.
Wenn der Cloud DNS-Server nicht erreichbar ist. Cloud NGFW ignoriert FQDN-Objekte, wenn ein DNS-Server, der die Antwort liefert, nicht erreichbar ist.
Wenn ein FQDN-Objekt ignoriert wird, programmiert Cloud NGFW die verbleibenden Teile einer Firewallregel, sofern möglich.
Hinweise zu FQDN-Objekten
Beachten Sie Folgendes für FQDN-Objekte:
Da FQDN-Objekte IP-Adressen zugeordnet und als IP-Adressen programmiert werden, verwendet Cloud NGFW das folgende Verhalten, wenn zwei oder mehr FQDN-Objekte derselben IP-Adresse zugeordnet sind. Angenommen, Sie haben die folgenden zwei Firewallregeln, die für dasselbe Ziel gelten:
- Regel 1: Priorität
100, eingehender Traffic von Quell-FQDNexample1.comzulassen - Regel 2: Priorität
200, eingehender Traffic von Quell-FQDNexample2.comzulassen
Wenn sowohl
example1.comals auchexample2.comin dieselbe IP-Adresse aufgelöst werden, stimmen eingehende Pakete vonexample1.comundexample2.commit der ersten Firewall-Regel überein, da diese Regel eine höhere Priorität hat.- Regel 1: Priorität
Bei der Verwendung von FQDN-Objekten sind unter anderem folgende Aspekte zu berücksichtigen:
Eine DNS-Abfrage kann je nach Standort des anfragenden Clients eindeutige Antworten haben.
DNS-Antworten können sehr unterschiedlich ausfallen, wenn ein DNS-basiertes Load-Balancing-System beteiligt ist.
Eine DNS-Antwort kann mehr als 32 IPv4-Adressen enthalten.
Eine DNS-Antwort kann mehr als 32 IPv6-Adressen enthalten.
Da Cloud NGFW in den oben genannten Situationen DNS-Abfragen in jeder Region ausführt, die die VM-Netzwerkschnittstelle enthält, für die die Firewallregel gilt, enthalten die programmierten IP-Adressen in Firewallregeln nicht alle möglichen IP-Adressen, die dem FQDN zugeordnet sind.
Die meisten Google-Domainnamen, z. B.
googleapis.com, unterliegen einer oder mehreren dieser Situationen. Verwenden Sie stattdessen IP-Adressen oder Adressgruppen.Vermeiden Sie die Verwendung von FQDN-Objekten mit DNS-
A-Einträgen mit einer TTL (Time-to-Live) von weniger als 90 Sekunden.
Domainnamen formatieren
FQDN-Objekte müssen dem Standard-FQDN-Format entsprechen. Dieses Format ist in RFC 1035, RFC 1123 und RFC 4343 definiert. Cloud NGFW lehnt FQDN-Objekte ab, die einen Domainnamen enthalten, der nicht allen folgenden Formatierungsregeln entspricht:
Jedes FQDN-Objekt muss ein Domainname mit mindestens zwei Labels sein:
- Jedes Label muss einem regulären Ausdruck entsprechen, der nur diese Zeichen enthält:
[a-z]([-a-z0-9][a-z0-9])?.. - Jedes Label muss zwischen 1 und 63 Zeichen lang sein.
- Labels müssen mit einem Punkt (.) verkettet werden.
Daher unterstützen FQDN-Objekte keine Platzhalterzeichen (
*) oder Stammdomainnamen der obersten Ebene wie*.example.com.und.org, da diese nur ein einzelnes Label enthalten.- Jedes Label muss einem regulären Ausdruck entsprechen, der nur diese Zeichen enthält:
FQDN-Objekte unterstützen internationalisierte Domainnamen (IDNs). Sie können einen IDN entweder im Unicode- oder Punycode-Format angeben. Berücksichtige Folgendes:
Wenn Sie einen IDN im Unicode-Format angeben, wird dieser von Cloud NGFW vor der Verarbeitung in das Punycode-Format formatiert.
Mit dem IDN-Konverter können Sie die Punycode-Darstellung einer IDN erstellen.
Die Zeichenbeschränkung von 1 bis 63 pro Label gilt für IDNs nach der Konvertierung in das Punycode-Format.
Die codierte Länge eines vollqualifizierten Domainnamens (FQDN) darf 255 Byte (Oktett) nicht überschreiten.
Cloud NGFW unterstützt keine entsprechenden Domainnamen in derselben Firewallregel. Wenn sich die beiden Domainnamen (oder Punycode-Darstellungen von IDNs) beispielsweise höchstens durch einen abschließenden Punkt (.) unterscheiden, werden sie von Cloud NGFW als gleichwertig betrachtet.