Questa pagina descrive i componenti delle regole firewall che crei in una delle seguenti policy firewall che si applicano a una rete VPC standard:
Per informazioni dettagliate sulle regole firewall e sulle reti VPC RDMA, consulta Cloud NGFW per le reti VPC RoCE.
Ogni regola del criterio firewall si applica alle connessioni in entrata o in uscita, non a entrambe.
Regole in entrata
La direzione in entrata si riferisce alle connessioni in entrata inviate da origini specifiche a Google Cloud target. Le regole di traffico in entrata si applicano ai pacchetti in entrata che arrivano sui seguenti tipi di target:
- Interfacce di rete delle istanze di macchine virtuali (VM)
- Proxy Envoy gestiti che alimentano i bilanciatori del carico delle applicazioni interni e i bilanciatori del carico di rete proxy interni
Una regola di traffico in entrata con un'azione deny protegge i target bloccando le connessioni in entrata. Una regola con priorità più elevata potrebbe consentire le connessioni in entrata. Una rete predefinita
creata automaticamente include alcune regole firewall
VPC precompilate, che consentono l'ingresso per
determinati tipi di traffico.
Regole in uscita
La direzione in uscita si riferisce al traffico in uscita inviato da un'interfaccia di rete VM di destinazione a una destinazione.
Una regola in uscita con un'azione allow consente a un'istanza di inviare traffico alle destinazioni specificate nella regola. Il traffico in uscita può essere negato da regole firewall denycon priorità più alta Google Cloud .Inoltre, blocca o limita determinati tipi di traffico.
Componenti delle regole delle policy del firewall
Quando crei una regola della policy del firewall, specifichi i componenti che definiscono cosa fa la regola. Oltre alla direzione, puoi specificare origine, destinazione e caratteristiche del livello 4, come protocollo e porta di destinazione (se il protocollo utilizza le porte).
Priorità
La priorità di una regola in una policy del firewall è un numero intero compreso tra 0 e 2.147.483.647 inclusi. I numeri interi più bassi indicano le priorità più alte. La priorità di una regola in una policy firewall è simile alla priorità di una regola firewall VPC, con le seguenti differenze:
- Ogni regola di una policy firewall deve avere una priorità univoca.
- La priorità di una regola in una policy del firewall funge da identificatore univoco della regola. Le regole nelle norme firewall non utilizzano i nomi per l'identificazione.
- La priorità di una regola in una policy firewall definisce l'ordine di valutazione all'interno della policy firewall stessa. Le regole firewall VPC e le regole nei criteri firewall gerarchici, nei criteri firewall di rete globali e nei criteri firewall di rete regionali vengono valutate come descritto in Applicare criteri e regole firewall a una rete.
Azione in caso di corrispondenza
Una regola in una policy firewall può avere una delle seguenti azioni:
| Parametro azione | Descrizione |
|---|---|
allow |
Consente i pacchetti per una nuova connessione. Interrompe la valutazione delle regole nella policy del firewall che contiene la regola corrispondente. Non valuta altre regole firewall. Indipendentemente dalla direzione della regola, se il protocollo del pacchetto e il tipo di criterio firewall supportano il monitoraggio delle connessioni, una regola allow crea una voce della tabella di monitoraggio delle connessioni del firewall che consente i pacchetti in entrata e in uscita. |
deny |
Non consente i pacchetti per una nuova connessione. Interrompe la valutazione delle regole nella policy del firewall che contiene la regola corrispondente. Non valuta altre regole firewall. Cloud NGFW verifica sempre la presenza di una voce nella tabella di monitoraggio della connessione firewall prima di valutare le regole firewall. Di conseguenza, se una regola di autorizzazione ha creato una voce della tabella di monitoraggio delle connessioni, questa voce ha la precedenza. |
apply_security_profile_group |
Intercetta i pacchetti per una nuova connessione e li invia a un endpoint firewall o a un gruppo di endpoint di intercettazione. Interrompe la valutazione delle regole nella policy del firewall che contiene la regola corrispondente. Non valuta altre regole firewall. Indipendentemente dalla direzione della regola, se il protocollo del pacchetto e
il tipo di criterio firewall supportano il monitoraggio delle connessioni, una regola con l'azione
Non puoi creare regole con l'azione
|
goto_next |
Interrompe la valutazione di altre regole nella policy firewall e valuta le regole nel passaggio successivo dell' ordine di valutazione delle regole e delle policy firewall. Il passaggio successivo dell'ordine di valutazione delle regole e delle policy firewall potrebbe essere la valutazione delle regole in un'altra policy firewall o delle regole firewall implicite. |
Applicazione
Puoi scegliere se una regola dei criteri firewall è applicata impostando il relativo stato su attivato o disattivato. Imposti lo stato di applicazione quando crei una regola o quando la aggiorni.
Se non imposti uno stato di applicazione quando crei una nuova regola firewall, questa viene attivata automaticamente.
Protocolli e porte
Analogamente alle regole firewall VPC, devi specificare uno o più vincoli di protocollo e porta quando crei una regola. Quando specifichi TCP o UDP in una regola, puoi specificare il protocollo, il protocollo e una porta di destinazione oppure il protocollo e un intervallo di porte di destinazione. Non puoi specificare solo una porta o un intervallo di porte. Inoltre, puoi specificare solo le porte di destinazione. Le regole basate sulle porte di origine non sono supportate.
Puoi utilizzare i seguenti nomi di protocollo nelle regole firewall: tcp, udp, icmp
(per ICMP IPv4), esp, ah, sctp e ipip. Per tutti gli altri protocolli, utilizza
i numeri di protocollo
IANA.
Molti protocolli utilizzano lo stesso nome e lo stesso numero sia in IPv4 che in IPv6, ma alcuni
protocolli, come ICMP, non lo fanno. Per specificare ICMP IPv4, utilizza icmp o il numero di protocollo 1. Per specificare ICMP IPv6, utilizza il numero di protocollo 58.
Le regole firewall non supportano la specifica di tipi e codici ICMP, ma solo del protocollo.
Il protocollo Hop-by-Hop IPv6 non è supportato nelle regole firewall.
Se non specifichi i parametri di protocollo e porta, la regola si applica a tutti i protocolli e le porte di destinazione.
Logging
Il logging per le regole dei criteri firewall funziona allo stesso modo del logging delle regole firewall VPC, ad eccezione di quanto segue:
Il campo di riferimento include l'ID policy del firewall e un numero che indica il livello della risorsa a cui è collegata la policy. Ad esempio,
0indica che il criterio viene applicato a un'organizzazione, mentre1indica che il criterio viene applicato a una cartella di primo livello nell'organizzazione.I log per le regole dei criteri firewall includono un campo
target_resourceche identifica le reti VPC a cui si applica la regola.
- Il logging può essere attivato solo per le regole
allow,denyeapply_security_profile_group; non può essere attivato per le regolegoto_next.
Target, origine, destinazione
I parametri di destinazione, origine e destinazione funzionano insieme per determinare l'ambito di una regola firewall.
Parametri di destinazione: identificano le risorse a cui si applica la regola firewall.
Parametri di origine e destinazione: definisci i criteri del traffico. Puoi specificarli sia per le regole in entrata che in uscita. Le opzioni valide per i parametri di origine e di destinazione dipendono dai parametri di destinazione e dalla direzione della regola firewall.
Destinazioni
Il parametro target type e uno o più parametri target definiscono i target di una regola firewall. Queste destinazioni di una regola firewall sono le risorse che la regola firewall protegge.
Se il tipo di destinazione viene omesso o impostato su
INSTANCES, la regola firewall si applica alle interfacce di rete delle istanze Compute Engine, inclusi i nodi Google Kubernetes Engine e le istanze dell'ambiente flessibile di App Engine. Sono supportate sia le regole in entrata che in uscita.Per specificare a quali interfacce di rete VM si applica la regola firewall, utilizza i parametri di destinazione:
Se ometti tutti i parametri di destinazione, la regola firewall viene applicata alle destinazioni delle istanze più ampie.
Per informazioni dettagliate sui parametri di destinazione e sulle combinazioni di parametri di destinazione, consulta la sezione Destinazioni specifiche.
Se il tipo di destinazione è impostato su
INTERNAL_MANAGED_LB(anteprima), la regola firewall si applica ai proxy Envoy gestiti utilizzati dai bilanciatori del carico delle applicazioni interni e dai bilanciatori del carico di rete proxy interni. Sono supportate solo le regole in entrata.Se ometti il parametro regole di forwarding di destinazione, la regola firewall si applica alle destinazioni del bilanciatore del carico più ampie.
Per limitare la regola firewall a un singolo bilanciatore del carico, utilizza il parametro delle regole di forwarding di destinazione. Per saperne di più, consulta Target specifici.
Target di istanze più ampi
I target delle istanze più ampi dipendono dal tipo di criteri firewall:
Destinazioni istanza più ampie per una regola in un criterio firewall gerarchico: tutte le interfacce di rete VM in una subnet in qualsiasi regione di qualsiasi rete VPC che si trova in un progetto nel nodo Resource Manager (cartella o organizzazione) associato al criterio firewall gerarchico.
Target di istanza più ampi per una regola in una policy del firewall di rete globale: tutte le interfacce di rete VM in una subnet in qualsiasi regione della rete VPC associata alla policy del firewall di rete globale.
Destinazioni istanza più ampie per una regola nella policy firewall di rete regionale: tutte le interfacce di rete VM in una subnet all'interno della regione e della rete VPC associate alla policy firewall di rete regionale.
Target del bilanciatore del carico più ampi
Le policy firewall di rete regionali sono le uniche policy le cui regole supportano le destinazioni del bilanciatore del carico. I target del bilanciatore del carico più ampi sono le regole di forwarding per i bilanciatori del carico delle applicazioni interni e i bilanciatori del carico di rete proxy interni nella regione del criterio e nella rete VPC associata.
Target specifici
La tabella seguente elenca i parametri di destinazione, le norme firewall che supportano le regole con ciascun parametro e i tipi di destinazione delle regole supportati. Se non specifichi un parametro di destinazione, la regola utilizza le destinazioni dell'istanza più ampie o le destinazioni del bilanciatore del carico più ampie, a seconda del tipo di destinazione della regola. Il segno di spunta indica che il parametro è supportato, mentre il simbolo indica che il parametro non è supportato.
| Parametro target o combinazione di parametri target | Supporto delle policy firewall | Supporto del tipo di target della regola | |||
|---|---|---|---|---|---|
| Gerarchico | Rete globale | Rete regionale | INSTANCES |
INTERNAL_MANAGED_LB |
|
| Risorse di rete VPC di destinazione
Un elenco di una o più reti VPC specificate
utilizzando il parametro |
|||||
| Account di servizio di destinazione
Un elenco di uno o più service account specificati utilizzando il
parametro |
|||||
| Combinazione di account di servizio di destinazione e risorse di rete VPC di destinazione
Una regola che utilizza sia i parametri
|
|||||
| Targeting dei valori dei tag sicuri da una chiave tag con dati
relativi allo scopo della rete
Un elenco di uno o più valori di tag di una chiave di tag il cui
Per saperne di più, consulta Tag sicuri per firewall. |
|||||
| Targeting dei valori dei tag sicuri da una chiave tag con dati sullo scopo dell'organizzazione
Un elenco di uno o più valori di tag di una chiave di tag il cui
Per saperne di più, consulta Tag sicuri per firewall. |
|||||
| Regole di inoltro dei target
Anteprima
Una singola regola di forwarding per un bilanciatore del carico delle applicazioni interno o un bilanciatore del carico di rete proxy interno specificato nel formato delle regole di forwarding di destinazione. Questo parametro restringe i target del bilanciatore del carico più ampi a un bilanciatore del carico delle applicazioni interno o a un bilanciatore del carico di rete proxy interno specifico. |
|||||
Formato delle regole di forwarding target
Quando il tipo di destinazione di una regola firewall è impostato su INTERNAL_MANAGED_LB
(Anteprima), il parametro delle regole di forwarding della destinazione
accetta valori nei seguenti formati:
Per i bilanciatori del carico delle applicazioni interni regionali e i bilanciatori del carico di rete proxy interni regionali:
https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/forwardingRules/FORWARDING_RULE_NAMEprojects/PROJECT_ID/regions/REGION/forwardingRules/FORWARDING_RULE_NAME
Per i bilanciatori del carico delle applicazioni interni tra regioni e i bilanciatori del carico di rete proxy interni tra regioni:
https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/forwardingRules/FORWARDING_RULE_NAMEprojects/PROJECT_ID/global/forwardingRules/FORWARDING_RULE_NAME
Destinazioni e indirizzi IP per le regole in entrata
Quando il tipo di destinazione di una regola firewall viene omesso o impostato su INSTANCES, la regola si applica ai pacchetti instradati alle interfacce di rete delle VM di destinazione.
Se la regola firewall in entrata include un intervallo di indirizzi IP di destinazione, la destinazione del pacchetto deve rientrare in uno degli intervalli di indirizzi IP di destinazione definiti in modo esplicito.
Se la regola firewall in entrata non include un intervallo di indirizzi IP di destinazione, la destinazione del pacchetto deve corrispondere a uno dei seguenti indirizzi IP di ogni VM di destinazione:
L'indirizzo IPv4 interno principale assegnato alla NIC dell'istanza.
Qualsiasi intervallo di indirizzi IP alias configurato sulla NIC dell'istanza.
L'indirizzo IPv4 esterno associato alla NIC dell'istanza.
Se IPv6 è configurato nella subnet, uno qualsiasi degli indirizzi IPv6 assegnati alla NIC.
Un indirizzo IP interno o esterno associato a una regola di forwarding utilizzata per il bilanciamento del carico pass-through, in cui l'istanza è un backend per un bilanciatore del carico di rete passthrough interno o un bilanciatore del carico di rete passthrough esterno.
Un indirizzo IP interno o esterno associato a una regola di forwarding utilizzata per il forwarding del protocollo, in cui l'istanza viene referenziata da un'istanza di destinazione.
Un indirizzo IP all'interno dell'intervallo di destinazione di una route statica personalizzata che utilizza l'istanza (
next-hop-instanceonext-hop-address) come VM di hop successivo.Un indirizzo IP compreso nell'intervallo di destinazione di una route statica personalizzata che utilizza un bilanciatore del carico di rete passthrough interno (
next-hop-ilb) come hop successivo se la VM è un backend per quel bilanciatore del carico.
Quando il tipo di destinazione di una regola firewall è impostato su INTERNAL_MANAGED_LB
(Anteprima), la regola filtra i pacchetti indirizzati ai
proxy Envoy gestiti associati ai bilanciatori del carico delle applicazioni interni e ai
bilanciatori del carico di rete proxy interni. Quando utilizzi intervalli IP di destinazione in una regola di ingresso, assicurati che l'intervallo includa l'indirizzo IP della regola di forwarding del bilanciatore del carico pertinente.
Destinazioni e indirizzi IP per le regole in uscita
Quando il tipo di destinazione di una regola firewall viene omesso o impostato su INSTANCES, la regola si applica ai pacchetti emessi dalle interfacce di rete delle VM di destinazione.
Se il forwarding IP è disattivato (impostazione predefinita) nella VM di destinazione, la VM può emettere pacchetti solo con le seguenti origini:
L'indirizzo IPv4 interno principale della NIC di un'istanza.
Qualsiasi intervallo di indirizzi IP alias configurato sulla NIC di un'istanza.
Se IPv6 è configurato nella subnet, uno qualsiasi degli indirizzi IPv6 assegnati alla NIC.
Un indirizzo IP interno o esterno associato a una regola di forwarding, per il bilanciamento del carico pass-through o il forwarding del protocollo. Questo è valido se l'istanza è un backend per un bilanciatore del carico di rete passthrough interno, un bilanciatore del carico di rete passthrough esterno o se viene fatto riferimento a un'istanza di destinazione.
Se la regola firewall in uscita include intervalli di indirizzi IP di origine, le VM di destinazione sono comunque limitate agli indirizzi IP di origine menzionati in precedenza, ma è possibile utilizzare un parametro di origine per perfezionare le origini. L'utilizzo di un parametro di origine senza abilitare l'inoltro IP non espande mai l'insieme di possibili indirizzi di origine dei pacchetti.
Se la regola firewall di uscita non include un intervallo di indirizzi IP di origine, tutti gli indirizzi IP di origine menzionati in precedenza sono consentiti.
Se il forwarding IP è abilitato nella VM di destinazione, la VM può emettere pacchetti con indirizzi di origine arbitrari. Puoi utilizzare il parametro source per definire con maggiore precisione l'insieme di origini dei pacchetti consentite.
Fonti
I valori dei parametri di origine dipendono dalla direzione della regola firewall.
Origini delle regole in entrata
Questa tabella elenca i parametri di origine per le regole di ingresso, le policy firewall che supportano ogni parametro e i tipi di destinazione delle regole compatibili con ogni parametro. Devi specificare almeno un parametro di origine. Il segno di spunta indica che il parametro è supportato, mentre il simbolo indica che il parametro non è supportato.
| Parametro di origine della regola in entrata | Supporto delle policy firewall | Supporto del tipo di target della regola | |||
|---|---|---|---|---|---|
| Gerarchico | Rete globale | Rete regionale | INSTANCES |
INTERNAL_MANAGED_LB |
|
| Intervalli di indirizzi IP di origine
Un semplice elenco composto da indirizzi IPv4 in formato CIDR o indirizzi IPv6 in formato CIDR. L'elenco è archiviato all'interno della regola della policy del firewall stessa. |
|||||
| Gruppi di indirizzi di origine
Raccolte riutilizzabili di indirizzi IPv4 in formato CIDR o indirizzi IPv6 in formato CIDR. La regola firewall fa riferimento alla raccolta. Per saperne di più, consulta Gruppi di indirizzi per le norme firewall. |
|||||
| Nomi di dominio di origine
Un elenco di uno o più nomi di dominio di origine. Per saperne di più, incluso come i nomi di dominio vengono convertiti in indirizzi IP, consulta Oggetti FQDN. |
|||||
| Recuperare i valori dei tag sicuri da una chiave tag con dati per scopi di rete
Un elenco di uno o più valori di tag di una chiave di tag i cui dati di scopo specificano una singola rete VPC. Per saperne di più, consulta Tag sicuri per i firewall e In che modo i tag sicuri di origine implicano le origini dei pacchetti. |
|||||
| Recuperare i valori dei tag sicuri da una chiave tag con dati sullo scopo dell'organizzazione
Un elenco di uno o più valori di tag di una chiave di tag i cui dati sullo scopo
sono |
|||||
| Localizzazioni di origine
Un elenco di una o più località geografiche di origine specificate come codici paese o regione di due lettere. Per ulteriori informazioni, consulta Oggetti di geolocalizzazione. |
|||||
| Elenchi di Google Threat Intelligence di origine
Un elenco di uno o più nomi di elenchi Google Threat Intelligence predefiniti. Per saperne di più, consulta Google Threat Intelligence per le regole dei criteri firewall. |
|||||
| Tipo di rete di origine
Un vincolo che definisce un confine di sicurezza. I valori validi dipendono dal tipo di target della regola. Per saperne di più, consulta Tipi di rete. |
|||||
Combinazioni di origini delle regole in entrata
In una singola regola di ingresso, puoi utilizzare due o più parametri di origine per produrre una combinazione di origini. Cloud NGFW applica i seguenti vincoli alle combinazioni di origine di ogni regola di ingresso:
- Gli intervalli di indirizzi IP di origine devono contenere CIDR IPv4 o IPv6, non una combinazione di entrambi.
- Un gruppo di indirizzi di origine che contiene CIDR IPv4 non può essere utilizzato con un gruppo di indirizzi di origine che contiene CIDR IPv6.
- Un intervallo di indirizzi IP di origine che contiene CIDR IPv4 non può essere utilizzato con un gruppo di indirizzi di origine che contiene CIDR IPv6.
- Un intervallo di indirizzi IP di origine che contiene CIDR IPv6 non può essere utilizzato con un gruppo di indirizzi di origine che contiene CIDR IPv4.
- Il tipo di rete internet non può essere utilizzato con i tag sicuri dell'origine.
- I tipi non internet, reti VPC e inter-VPC non possono essere utilizzati con gli elenchi di Google Threat Intelligence di origine o le geolocalizzazioni di origine .
Cloud NGFW applica la seguente logica per abbinare i pacchetti a una regola di ingresso che utilizza una combinazione di origine:
Se la combinazione di origine non include un tipo di rete di origine, i pacchetti corrispondono alla regola di ingresso se corrispondono ad almeno un parametro di origine nella combinazione di origine.
Se la combinazione di origine include un tipo di rete di origine, i pacchetti corrispondono alla regola di ingresso se corrispondono al tipo di rete di origine e ad almeno uno degli altri parametri di origine nella combinazione di origine.
Come i tag di origine protetti implicano le origini dei pacchetti
Una regola firewall in entrata può utilizzare i valori dei tag sicuri di origine quando il tipo di destinazione
viene omesso o impostato su INSTANCES. I valori dei tag sicuri identificano le interfacce di rete,
non le caratteristiche dei pacchetti come gli indirizzi IP.
I pacchetti inviati da un'interfaccia di rete di un'istanza VM corrispondono a una regola in entrata che utilizza un valore di tag sicuro di origine in base alle seguenti regole:
Se la regola in entrata si trova in un criterio di rete regionale, l'istanza VM deve trovarsi in una zona della stessa regione del criterio firewall di rete regionale. In caso contrario, l'istanza VM può trovarsi in qualsiasi zona.
L'istanza VM deve essere associata allo stesso valore del tag sicuro utilizzato come tag sicuro di origine in una regola firewall in entrata.
Il valore del tag sicuro associato all'istanza VM e utilizzato dalla regola firewall in entrata deve provenire da una chiave tag il cui attributo
purpose-dataidentifica almeno una rete VPC che contiene un'interfaccia di rete dell'istanza VM:Se i dati sullo scopo della chiave del tag specificano una singola rete VPC, le regole firewall in entrata che utilizzano il valore del tag sicuro di origine si applicano alle interfacce di rete dell'istanza VM che si trovano in quella rete VPC.
Se i dati sullo scopo della chiave del tag specificano l'organizzazione, le regole firewall in entrata che utilizzano il valore del tag sicuro di origine si applicano alle interfacce di rete dell'istanza VM che si trovano in qualsiasi rete VPC dell'organizzazione.
L'interfaccia di rete della VM identificata deve soddisfare uno dei seguenti criteri:
- L'interfaccia di rete della VM si trova nella stessa rete VPC della rete VPC a cui si applica la policy firewall.
- L'interfaccia di rete della VM si trova in una rete VPC connessa, tramite peering di rete VPC, alla rete VPC a cui si applica la policy firewall.
Per saperne di più sui tag sicuri per i firewall, consulta Specifiche.
Origini delle regole in uscita
Puoi utilizzare le seguenti origini per le regole di uscita sia nelle policy firewall gerarchiche che nelle policy firewall di rete:
Predefinito, implicito dal target: se ometti il parametro di origine da una regola di uscita, le origini dei pacchetti vengono definite implicitamente come descritto in Target e indirizzi IP per le regole di uscita.
Intervalli di indirizzi IPv4 di origine: un elenco di indirizzi IPv4 in formato CIDR.
Intervalli di indirizzi IPv6 di origine: un elenco di indirizzi IPv6 in formato CIDR.
Segui queste linee guida per aggiungere intervalli di indirizzi IP di origine per le regole in uscita:
- Se a un'interfaccia VM sono assegnati indirizzi IPv4 sia interni che esterni, durante la valutazione della regola viene utilizzato solo l'indirizzo IPv4 interno.
Se nella regola di uscita hai un intervallo di indirizzi IP di origine e parametri di destinazione, i parametri di destinazione vengono risolti nella stessa versione IP dell'origine.
Ad esempio, in una regola di uscita, hai un intervallo di indirizzi IPv4 nel parametro di origine e un oggetto FQDN nel parametro di destinazione. Se l'FQDN viene risolto sia in indirizzi IPv4 che IPv6, durante l'applicazione della regola viene utilizzato solo l'indirizzo IPv4 risolto.
Destinazioni
I valori dei parametri di destinazione dipendono dalla direzione della regola firewall.
Destinazioni per le regole in entrata
Puoi utilizzare le seguenti destinazioni per le regole firewall in entrata sia nei criteri firewall gerarchici sia in quelli di rete:
Predefinito, implicito dal target: se ometti il parametro di destinazione da una regola di ingresso, le destinazioni dei pacchetti vengono definite implicitamente come descritto in Target e indirizzi IP per le regole di ingresso.
Intervalli di indirizzi IPv4 di destinazione: un elenco di indirizzi IPv4 in formato CIDR.
Intervalli di indirizzi IPv6 di destinazione: un elenco di indirizzi IPv6 in formato CIDR.
Segui queste linee guida per aggiungere intervalli di indirizzi IP di destinazione per le regole di ingresso:
Se a un'interfaccia VM sono assegnati indirizzi IPv4 sia interni che esterni, durante la valutazione della regola viene utilizzato solo l'indirizzo IPv4 interno.
Se hai definito parametri di origine e di destinazione in una regola di ingresso, i parametri di origine vengono risolti nella stessa versione IP della versione IP di destinazione. Per scoprire di più su come definire un'origine per le regole in entrata, consulta Origini per le regole in entrata nelle policy dei firewall gerarchici e Origini per le regole in entrata nelle policy dei firewall di rete.
Ad esempio, in una regola di ingresso, hai un intervallo di indirizzi IPv6 nel parametro di destinazione e un codice paese di geolocalizzazione nel parametro di origine. Durante l'applicazione della regola, per il codice paese di origine specificato viene utilizzato solo l'indirizzo IPv6 mappato.
Destinazioni per le regole in uscita
Questa tabella elenca i parametri di destinazione per le regole di uscita, i criteri firewall che supportano ciascun parametro e i tipi di destinazione delle regole compatibili con ciascun parametro. Devi specificare almeno un parametro di destinazione. Il segno di spunta indica che il parametro è supportato, mentre il simbolo indica che non è supportato.
| Parametro di destinazione della regola in uscita | Supporto delle policy firewall | Supporto del tipo di target della regola | |||
|---|---|---|---|---|---|
| Gerarchico | Rete globale | Rete regionale | INSTANCES |
INTERNAL_MANAGED_LB |
|
| Intervalli di indirizzi IP di destinazione
Un semplice elenco composto da indirizzi IPv4 in formato CIDR o indirizzi IPv6 in formato CIDR. L'elenco è archiviato all'interno della regola della policy del firewall stessa. |
|||||
| Gruppi di indirizzi di destinazione
Raccolte riutilizzabili di indirizzi IPv4 in formato CIDR o indirizzi IPv6 in formato CIDR. La regola del criterio firewall fa riferimento alla raccolta. Per saperne di più, consulta Gruppi di indirizzi per le norme firewall. |
|||||
| Nomi di dominio di destinazione
Un elenco di uno o più nomi di dominio di destinazione. Per ulteriori informazioni, incluso come i nomi di dominio vengono convertiti in indirizzi IP, consulta Oggetti FQDN. |
|||||
| Geolocalizzazioni delle destinazioni
Un elenco di una o più località geografiche di origine specificate come codici paese o regione di due lettere. Per ulteriori informazioni, consulta Oggetti di geolocalizzazione. |
|||||
| Elenchi di destinazione di Google Threat Intelligence
Un elenco di uno o più nomi di elenchi Google Threat Intelligence predefiniti. Per saperne di più, consulta Google Threat Intelligence per le regole dei criteri firewall. |
|||||
| Tipo di rete di destinazione
Un vincolo che definisce un confine di sicurezza. Per saperne di più, consulta Tipi di rete. |
|||||
Combinazioni di destinazione delle regole in uscita
In una singola regola di uscita, puoi utilizzare due o più parametri di destinazione per produrre una combinazione di destinazioni. Cloud NGFW applica i seguenti vincoli alle combinazioni di destinazione di ogni regola di uscita:
- Gli intervalli di indirizzi IP di destinazione devono contenere CIDR IPv4 o IPv6, non una combinazione di entrambi.
- Un gruppo di indirizzi di destinazione che contiene CIDR IPv4 non può essere utilizzato con un gruppo di indirizzi di destinazione che contiene CIDR IPv6.
- Un intervallo di indirizzi IP di destinazione che contiene CIDR IPv4 non può essere utilizzato con un gruppo di indirizzi di destinazione che contiene CIDR IPv6.
- Un intervallo di indirizzi IP di destinazione che contiene CIDR IPv6 non può essere utilizzato con un gruppo di indirizzi di destinazione che contiene CIDR IPv4.
- Gli elenchi di Google Threat Intelligence o le geolocalizzazioni di destinazione non possono essere utilizzati con il tipo di rete non internet di destinazione.
Cloud NGFW applica la seguente logica per abbinare i pacchetti a una regola di uscita che utilizza una combinazione di destinazione:
Se la combinazione di destinazioni non include un tipo di rete di destinazione, i pacchetti corrispondono alla regola di uscita se corrispondono ad almeno un parametro di destinazione nella combinazione di destinazioni.
Se la combinazione di destinazioni include un tipo di rete di destinazione, i pacchetti corrispondono alla regola di uscita se corrispondono al tipo di rete di destinazione e ad almeno uno degli altri parametri di destinazione nella combinazione di destinazioni.
Tipi di rete
I tipi di rete ti aiutano a raggiungere i tuoi obiettivi di sicurezza utilizzando in modo più efficiente un numero inferiore di regole delle policy firewall. Cloud NGFW supporta quattro tipi di rete che possono essere utilizzati per creare una combinazione di origine o di destinazione in una regola di un criterio firewall gerarchico, di un criterio firewall di rete globale o di un criterio firewall di rete regionale.
Tipi di rete
La tabella seguente mostra come possono essere utilizzati i quattro tipi di rete nelle regole firewall.
| Tipi di rete | Tipo di target supportato | Combinazione di direzione, origine o destinazione supportata | ||
|---|---|---|---|---|
INSTANCES |
INTERNAL_MANAGED_LB |
Combinazione di origine di una regola in entrata | Combinazione di destinazione di una regola in uscita | |
Internet (INTERNET) |
||||
Non internet (NON_INTERNET) |
||||
Reti VPC (VPC_NETWORKS) |
||||
Interno al VPC (INTRA_VPC) |
||||
I tipi di rete internet e non internet si escludono a vicenda. I tipi di rete VPC e intra-VPC sono sottoinsiemi del tipo di rete non internet.
Tipo di rete internet
Il tipo di rete internet (INTERNET) può essere utilizzato come parte di una combinazione di origine di una regola di ingresso o come parte di una combinazione di destinazione di una regola di uscita:
Per una regola in entrata, specifica l'origine di tipo internet e almeno un altro parametro di origine, ad eccezione di un'origine tag sicuro. I pacchetti corrispondono alla regola di ingresso se corrispondono ad almeno uno degli altri parametri di origine e ai criteri del tipo di rete internet per i pacchetti in entrata.
Per una regola di uscita, specifica la destinazione di tipo internet e almeno un altro parametro di destinazione. I pacchetti corrispondono alla regola di uscita se corrispondono ad almeno uno degli altri parametri di destinazione e ai criteri del tipo di rete internet per i pacchetti in uscita.
Tipo di rete non internet
Il tipo di rete non internet (NON-INTERNET) può essere utilizzato come parte di una
combinazione di origine di una regola in entrata o come parte di una combinazione di destinazione
di una regola in uscita:
Per una regola in entrata, specifica l'origine di tipo non internet e almeno un altro parametro di origine, ad eccezione di un elenco di geolocalizzazioni sicure o di Google Threat Intelligence. I pacchetti corrispondono alla regola in entrata se corrispondono ad almeno uno degli altri parametri di origine e criteri per il tipo di rete non internet per i pacchetti in entrata.
Per una regola di uscita, specifica la destinazione di tipo non internet e almeno un altro parametro di destinazione. I pacchetti corrispondono alla regola di uscita se corrispondono ad almeno uno degli altri parametri di destinazione e ai criteri di tipo di rete non internet per i pacchetti di uscita.
Tipo di reti VPC
Il tipo di rete reti VPC (VPC_NETWORKS) può essere utilizzato solo come parte di una combinazione di origine di una regola di ingresso. Per utilizzare il tipo di reti VPC come parte di una combinazione di origine di una regola Ingress, procedi nel seguente modo:
Devi specificare un elenco di reti VPC di origine:
- L'elenco delle reti di origine deve contenere almeno una rete VPC. Puoi aggiungere un massimo di 250 reti VPC all'elenco delle reti di origine.
- Una rete VPC deve esistere prima di poter essere aggiunta all'elenco delle reti di origine.
- Puoi aggiungere l'emittente utilizzando l'identificatore URL parziale o completo.
- Le reti VPC che aggiungi all'elenco delle reti di origine non devono essere connesse tra loro. Ogni rete VPC può trovarsi in qualsiasi progetto.
- Se una rete VPC viene eliminata dopo essere stata aggiunta all'elenco delle reti di origine, il riferimento alla rete eliminata rimane nell'elenco. Cloud NGFW ignora le reti VPC eliminate quando applica una regola di traffico in entrata. Se tutte le reti VPC nell'elenco delle reti di origine vengono eliminate, le regole in entrata che si basano sull'elenco non sono efficaci perché non corrispondono ad alcun pacchetto.
Devi specificare almeno un altro parametro di origine, ad eccezione di un'origine elenco Google Threat Intelligence o di un'origine di geolocalizzazione.
I pacchetti corrispondono alla regola in entrata se corrispondono ad almeno uno degli altri parametri di origine e ai criteri per il tipo di reti VPC.
Tipo di rete VPC interna
Il tipo di rete intra-VPC (INTRA_VPC) può essere utilizzato solo come parte di una combinazione di origine di una regola di ingresso. Per utilizzare il tipo di reti intra-VPC come parte di una combinazione di origine di una regola di ingresso, devi specificare almeno un altro parametro di origine, ad eccezione di un'origine elenco Google Threat Intelligence o di un'origine geolocalizzazione.
I pacchetti corrispondono alla regola in entrata se corrispondono ad almeno uno degli altri parametri di origine e criteri per il tipo di reti VPC interne.
Oggetti di geolocalizzazione
Utilizza gli oggetti di geolocalizzazione nelle regole dei criteri firewall per filtrare il traffico IPv4 esterno e IPv6 esterno in base a regioni o località geografiche specifiche.
Puoi applicare regole con oggetti di geolocalizzazione al traffico in entrata e in uscita. A seconda della direzione del traffico, gli indirizzi IP associati ai codici paese vengono confrontati con l'origine o la destinazione del traffico.
Puoi configurare oggetti di geolocalizzazione per i criteri firewall gerarchici, i criteri firewall di rete globali e i criteri firewall di rete regionali.
Per aggiungere geolocalizzazioni alle regole dei criteri del firewall, utilizza i codici paese o regione di due lettere definiti nei codici paese ISO 3166 alpha-2.
Ad esempio, se vuoi consentire il traffico in entrata solo dagli Stati Uniti nella rete, crea una regola di policy firewall in entrata con il codice paese di origine impostato su
USe l'azione impostata suallow. Allo stesso modo, se vuoi consentire il traffico in uscita solo verso gli Stati Uniti, configura una regola della policy del firewall in uscita con il codice paese di destinazione impostato suUSe l'azione impostata suallow.Cloud NGFW consente di configurare regole firewall per i seguenti territori soggetti a sanzioni statunitensi complete:
Territori Codice assegnato Crimea XC Le cosiddette repubbliche popolari di Donetsk e Lugansk XD Se in una singola regola firewall sono inclusi codici paese duplicati, viene conservata una sola voce per quel codice paese. La voce duplicata viene rimossa. Ad esempio, nell'elenco dei codici paese
ca,us,us, viene mantenuto soloca,us.Google gestisce un database con mapping di indirizzi IP e codici paese. I firewallGoogle Cloud utilizzano questo database per mappare gli indirizzi IP del traffico di origine e di destinazione al codice paese, quindi applicano la regola di policy firewall corrispondente con gli oggetti di geolocalizzazione.
A volte, le assegnazioni degli indirizzi IP e i codici paese cambiano a causa delle seguenti condizioni:
- Spostamento dell'indirizzo IP tra località geografiche
- Aggiornamenti allo standard dei codici paese ISO 3166 alpha-2
Poiché è necessario del tempo prima che queste modifiche vengano riportate nel database di Google, potresti notare alcune interruzioni del traffico e cambiamenti nel comportamento di alcuni tipi di traffico bloccati o consentiti.
Utilizzare gli oggetti di geolocalizzazione con altri filtri delle regole dei criteri firewall
Puoi utilizzare gli oggetti di geolocalizzazione insieme ad altri filtri di origine o destinazione. A seconda della direzione della regola, la regola del criterio firewall viene applicata al traffico in entrata o in uscita che corrisponde all'unione di tutti i filtri specificati.
Per informazioni su come funzionano gli oggetti di geolocalizzazione con altri filtri di origine nelle regole di entrata, consulta Origini per le regole di entrata nelle policy firewall gerarchiche e Origini per le regole di entrata nelle policy firewall di rete.
Per informazioni su come funzionano gli oggetti di geolocalizzazione con altri filtri di destinazione nelle regole in uscita, consulta Destinazioni per le regole in uscita.
Google Threat Intelligence per le regole dei criteri firewall
Le regole delle policy firewall ti consentono di proteggere la tua rete consentendo o bloccando il traffico in base ai dati di Google Threat Intelligence. I dati di Google Threat Intelligence includono elenchi di indirizzi IP in base alle seguenti categorie:
- Nodi di uscita Tor: Tor è un software open source che consente la comunicazione anonima. Per escludere gli utenti che nascondono la propria identità, blocca gli indirizzi IP dei nodi di uscita Tor (gli endpoint in cui il traffico esce dalla rete Tor).
- Indirizzi IP dannosi noti: indirizzi IP noti per essere l'origine di attacchi alle applicazioni web. Per migliorare la security posture della tua applicazione, blocca questi indirizzi IP.
- Motori di ricerca: indirizzi IP che puoi consentire per abilitare l'indicizzazione del sito.
- Intervalli di indirizzi IP cloud pubblici: questa categoria può essere bloccata per
impedire a strumenti automatizzati dannosi di navigare nelle applicazioni web o consentita se
il tuo servizio utilizza altri cloud pubblici. Questa categoria è ulteriormente suddivisa
nelle seguenti sottocategorie:
- Intervalli di indirizzi IP utilizzati da Amazon Web Services
- Intervalli di indirizzi IP utilizzati da Microsoft Azure
- Intervalli di indirizzi IP utilizzati da Google Cloud
- Intervalli di indirizzi IP utilizzati dai servizi Google
Gli elenchi di dati di Google Threat Intelligence possono includere indirizzi IPv4, indirizzi IPv6 o entrambi. Per configurare Google Threat Intelligence nelle regole delle policy firewall, utilizza i nomi degli elenchi predefiniti di Google Threat Intelligence in base alla categoria che vuoi consentire o bloccare. Questi elenchi vengono aggiornati continuamente, proteggendo i servizi da nuove minacce senza necessità di ulteriori passaggi di configurazione. I nomi delle liste validi sono i seguenti.
| Nome elenco | Descrizione |
|---|---|
| IP dannosi noti ( iplist-known-malicious-ips) |
Corrisponde agli indirizzi IP noti per gli attacchi alle applicazioni web |
| Crawler del motore di ricerca ( iplist-search-engines-crawlers) |
Corrisponde agli indirizzi IP dei crawler dei motori di ricerca |
| Nodi di uscita TOR ( iplist-tor-exit-nodes) |
Corrisponde agli indirizzi IP dei nodi di uscita TOR |
| IP cloud pubblico ( iplist-public-clouds) |
Corrisponde agli indirizzi IP appartenenti ai cloud pubblici |
| Cloud pubblici - AWS ( iplist-public-clouds-aws) |
Corrisponde agli intervalli di indirizzi IP utilizzati da Amazon Web Services |
| Cloud pubblici - Azure ( iplist-public-clouds-azure) |
Corrisponde agli intervalli di indirizzi IP utilizzati da Microsoft Azure |
| Cloud pubblici - GCP ( iplist-public-clouds-gcp) |
Corrisponde agli intervalli di indirizzi IP utilizzati da Google Cloud |
| Cloud pubblici - Servizi Google ( iplist-public-clouds-google-services) |
Corrisponde agli intervalli di indirizzi IP utilizzati dai servizi Google |
| Provider VPN ( iplist-vpn-providers) |
Corrisponde agli indirizzi IP appartenenti a provider VPN con reputazione bassa |
| Proxy anonimi ( iplist-anon-proxies) |
Corrisponde agli indirizzi IP appartenenti a proxy anonimi aperti |
| Siti di cryptomining ( iplist-crypto-miners) |
Corrisponde agli indirizzi IP appartenenti a siti di mining di criptovalute |
Utilizzare Google Threat Intelligence con altri filtri delle regole dei criteri firewall
Per definire una regola del criterio firewall con Google Threat Intelligence, segui queste linee guida:
Per le regole in uscita, specifica la destinazione utilizzando uno o più elenchi di Google Threat Intelligence.
Per le regole in entrata, specifica l'origine utilizzando uno o più elenchi di Google Threat Intelligence.
Puoi configurare gli elenchi di Google Threat Intelligence per i criteri firewall gerarchici, i criteri firewall di rete globali e i criteri firewall di rete regionali.
Puoi utilizzare questi elenchi insieme ad altri componenti di filtro delle regole di origine o destinazione.
Per informazioni su come funzionano gli elenchi di Google Threat Intelligence con altri filtri di origine nelle regole in entrata, consulta Origini per le regole in entrata nelle policy dei firewall gerarchiche e Origini per le regole in entrata nelle policy dei firewall di rete.
Per informazioni su come funzionano gli elenchi di Google Threat Intelligence con altri filtri di destinazione nelle regole in uscita, consulta Destinazioni per le regole in uscita.
Il logging del firewall viene eseguito a livello di regola. Per semplificare il debug e l'analisi dell'effetto delle regole firewall, non includere più elenchi di Google Threat Intelligence in una singola regola firewall.
Puoi aggiungere più elenchi di Google Threat Intelligence a una regola di policy firewall. Ogni nome di elenco incluso nella regola viene conteggiato come un attributo, indipendentemente dal numero di indirizzi IP o intervalli di indirizzi IP inclusi nell'elenco. Ad esempio, se hai incluso i nomi degli elenchi
iplist-tor-exit-nodes,iplist-known-malicious-ipseiplist-search-engines-crawlersnella regola del criterio firewall, il conteggio degli attributi della regola per criterio firewall viene aumentato di tre. Per saperne di più sul conteggio degli attributi delle regole, consulta Quote e limiti.
Creare eccezioni agli elenchi di Google Threat Intelligence
Se hai regole che si applicano agli elenchi di Google Threat Intelligence, puoi utilizzare le seguenti tecniche per creare regole di eccezione applicabili a determinati indirizzi IP all'interno di un elenco di Google Threat Intelligence:
Regola firewall di autorizzazione selettiva: supponiamo che tu abbia una regola firewall in entrata o in uscita che nega i pacchetti da o verso un elenco di Google Threat Intelligence. Per consentire i pacchetti da o verso un indirizzo IP selezionato all'interno di questo elenco di Google Threat Intelligence, crea una regola firewall di autorizzazione in entrata o in uscita separata con priorità più elevata che specifichi l'indirizzo IP di eccezione come origine o destinazione.
Regola firewall di negazione selettiva: supponiamo che tu abbia una regola firewall in entrata o in uscita che consente i pacchetti da o verso un elenco di Google Threat Intelligence. Per negare pacchetti da o verso un indirizzo IP selezionato all'interno di questo elenco di Google Threat Intelligence, crea una regola firewall di negazione in entrata o in uscita con priorità più elevata che specifichi l'indirizzo IP di eccezione come origine o destinazione.
Gruppi di indirizzi per le policy firewall
I gruppi di indirizzi sono una raccolta logica di intervalli di indirizzi IPv4 o IPv6 in formato CIDR. Puoi utilizzare i gruppi di indirizzi per definire origini o destinazioni coerenti a cui fanno riferimento molte regole firewall. I gruppi di indirizzi possono essere aggiornati senza modificare le regole firewall che li utilizzano. Per saperne di più sui gruppi di indirizzi, consulta Gruppi di indirizzi per le norme firewall.
Puoi definire gruppi di indirizzi di origine e di destinazione rispettivamente per le regole firewall in entrata e in uscita.
Per informazioni su come funzionano i gruppi di indirizzi di origine con altri filtri di origine nelle regole in entrata, consulta Origini per le regole in entrata nelle policy firewall gerarchiche e Origini per le regole in entrata nelle policy firewall di rete.
Per informazioni su come funzionano i gruppi di indirizzi di destinazione con altri filtri di destinazione nelle regole in uscita, consulta Destinazioni per le regole in uscita.
Oggetti FQDN
Gli oggetti nome di dominio completo (FQDN) contengono i nomi di dominio che specifichi nel formato del nome di dominio. Puoi utilizzare gli oggetti FQDN come origini per le regole in entrata o come destinazioni per le regole in uscita in un criterio firewall gerarchico, in un criterio firewall di rete globale o in un criterio firewall di rete regionale.
Puoi combinare i nomi di dominio completi con altri parametri. Per informazioni dettagliate sulle combinazioni di parametri di origine nelle regole in entrata, consulta Origini per le regole in entrata. Per informazioni dettagliate sulle combinazioni di parametri di destinazione nelle regole in uscita, consulta Destinazioni per le regole in uscita.
Gli oggetti FQDN supportano le policy di risposta Cloud DNS, le zone private gestite con ambito di rete VPC, i nomi DNS interni di Compute Engine e le zone DNS pubbliche. Questo supporto si applica a condizione che la rete VPC non abbia una policy dei server in uscita che specifica un server dei nomi alternativo. Per saperne di più, consulta Ordine di risoluzione della rete VPC.
Mappare gli oggetti FQDN agli indirizzi IP
Cloud NGFW risolve periodicamente gli oggetti FQDN in indirizzi IP. Cloud NGFW segue l'ordine di risoluzione dei nomi VPC di Cloud DNS nella rete VPC che contiene i target della regola firewall.
Cloud NGFW utilizza il seguente comportamento per la risoluzione degli indirizzi IP:
Supporta la ricerca del CNAME. Cloud NGFW utilizza la ricerca del CNAME di Cloud DNS se la risposta a una query di un oggetto FQDN è un record CNAME.
Indirizzi IP del programma. Cloud NGFW utilizza gli indirizzi IP risolti quando programma le regole firewall che utilizzano oggetti FQDN. Ogni oggetto FQDN può essere mappato a un massimo di 32 indirizzi IPv4 e 32 indirizzi IPv6.
Se la risposta DNS a una query di un oggetto FQDN viene risolta in più di 32 indirizzi IPv4 o più di 32 indirizzi IPv6, Cloud NGFW limita gli indirizzi IP programmati nelle regole firewall ai primi 32 indirizzi IPv4 e ai primi 32 indirizzi IPv6.
Ignora oggetti FQDN. Se Cloud NGFW non riesce a risolvere un oggetto FQDN in un indirizzo IP, lo ignora. Nelle seguenti situazioni, Cloud NGFW ignora un oggetto FQDN:
Quando vengono ricevute
NXDOMAINrisposte. Le risposteNXDOMAINsono risposte esplicite di un server dei nomi che indicano che non esiste alcun record DNS per la query dell'oggetto FQDN.Quando in una risposta non è presente alcun indirizzo IP. In questa situazione, una query di oggetti FQDN non restituisce una risposta con un indirizzo IP che Cloud NGFW può utilizzare per programmare una regola firewall.
Quando il server Cloud DNS non è raggiungibile. Cloud NGFW ignora gli oggetti FQDN se un server DNS che fornisce la risposta non è raggiungibile.
Quando un oggetto FQDN viene ignorato, Cloud NGFW programma le parti rimanenti di una regola firewall, se possibile.
Considerazioni sugli oggetti FQDN
Considera quanto segue per gli oggetti FQDN:
Poiché gli oggetti FQDN vengono mappati e programmati come indirizzi IP, Cloud NGFW utilizza il seguente comportamento quando due o più oggetti FQDN vengono mappati allo stesso indirizzo IP. Supponiamo di avere le seguenti due regole firewall che si applicano allo stesso target:
- Regola 1: priorità
100, ingresso consentito dal nome di dominio completo di origineexample1.com - Regola 2: priorità
200, ingresso consentito dall'FQDN di origineexample2.com
Se sia
example1.comcheexample2.comvengono risolti nello stesso indirizzo IP, i pacchetti in entrata sia daexample1.comche daexample2.comcorrispondono alla prima regola firewall perché questa regola ha una priorità più alta.- Regola 1: priorità
Di seguito sono riportate alcune considerazioni sull'utilizzo degli oggetti FQDN:
Una query DNS può avere risposte uniche in base alla posizione del client che effettua la richiesta.
Le risposte DNS possono variare notevolmente quando è coinvolto un sistema di bilanciamento del carico basato su DNS.
Una risposta DNS potrebbe contenere più di 32 indirizzi IPv4.
Una risposta DNS potrebbe contenere più di 32 indirizzi IPv6.
Nelle situazioni precedenti, poiché Cloud NGFW esegue query DNS in ogni regione che contiene l'interfaccia di rete VM a cui si applica la regola firewall, gli indirizzi IP programmati nelle regole firewall non contengono tutti i possibili indirizzi IP associati all'FQDN.
La maggior parte dei nomi di dominio Google, come
googleapis.com, è soggetta a una o più di queste situazioni. Utilizza indirizzi IP o gruppi di indirizzi.Evita di utilizzare oggetti FQDN con record DNS
Ache hanno una durata (TTL) inferiore a 90 secondi.
Formattare i nomi di dominio
Gli oggetti FQDN devono seguire il formato FQDN standard.Questo formato è definito in RFC 1035, RFC 1123 e RFC 4343. Cloud NGFW rifiuta gli oggetti FQDN che includono un nome di dominio che non soddisfa tutte le seguenti regole di formattazione:
Ogni oggetto FQDN deve essere un nome di dominio con almeno due etichette:
- Ogni etichetta deve corrispondere a un'espressione regolare che include solo questi
caratteri:
[a-z]([-a-z0-9][a-z0-9])?.. - Ogni etichetta deve avere una lunghezza compresa tra 1 e 63 caratteri.
- Le etichette devono essere concatenate con un punto (.).
Di conseguenza, gli oggetti FQDN non supportano caratteri jolly (
*) o nomi di dominio di primo livello (o radice), come*.example.com.e.org, perché includono una sola etichetta.- Ogni etichetta deve corrispondere a un'espressione regolare che include solo questi
caratteri:
Gli oggetti FQDN supportano i nomi di dominio internazionalizzati (IDN). Puoi fornire un IDN in formato Unicode o Punycode. Considera quanto segue:
Se specifichi un IDN in formato Unicode, Cloud NGFW lo converte in formato Punycode prima dell'elaborazione.
Puoi utilizzare il convertitore IDN per creare la rappresentazione Punycode di un IDN.
Il limite di caratteri di 1-63 per etichetta si applica agli IDN dopo la conversione nel formato Punycode.
La lunghezza codificata di un nome di dominio completo (FQDN) non può superare i 255 byte (ottetti).
Cloud NGFW non supporta nomi di dominio equivalenti nella stessa regola firewall. Ad esempio, se i due nomi di dominio (o le rappresentazioni Punycode degli IDN) differiscono al massimo
per un punto finale (.), Cloud NGFW li considera equivalenti.