Voll qualifizierte Domainnamenobjekte – Übersicht

Mit Objekten für voll qualifizierte Domainnamen (Fully Qualified Domain Names, FQDN) können Sie Firewallregeln mit Domainnamen anstelle von bestimmten IP-Adressen definieren. In diesem Dokument wird beschrieben, wie FQDN-Objekte IP-Adressen zugeordnet werden und verschiedene Cloud DNS-Dienste unterstützen:

• Cloud DNS-Antwortrichtlinien
• Verwaltete private Zonen mit VPC-Netzwerkbezug
• Interne Compute Engine-DNS-Namen
• Öffentliche DNS-Zonen

Dieses Dokument richtet sich an Netzwerkadministratoren und Sicherheitsexperten, die Firewallrichtlinien konfigurieren und verwalten.

Wenn Sie FQDN-Objekte verwenden möchten, darf das VPC-Netzwerk (Virtual Private Cloud) keine Serverrichtlinie für ausgehenden Traffic mit einem alternativen Nameserver verwenden. Weitere Informationen finden Sie unter Reihenfolge der Auflösung von VPC-Netzwerken.

FQDN-Objekte IP-Adressen zuordnen

Die Cloud Next Generation Firewall löst FQDN-Objekte regelmäßig in IP-Adressen auf. Cloud NGFW folgt der Reihenfolge der Cloud DNS VPC-Namensauflösung in dem VPC-Netzwerk, das die Ziele der Firewallregel enthält.

Cloud NGFW verwendet das folgende Verhalten für die IP-Adressauflösung:

• CNAME-Chasing unterstützen. Cloud NGFW verwendet Cloud DNS CNAME-Chasing, wenn die Antwort auf eine FQDN -Objektanfrage ein CNAME-Eintrag ist.

• IP-Adressen programmieren. Cloud NGFW verwendet die aufgelösten IP-Adressen, wenn sie die Firewallregeln programmiert, die FQDN-Objekte verwenden. Jedes FQDN-Objekt kann maximal 32 IPv4-Adressen und 32 IPv6-Adressen zugeordnet werden.

  Wenn die DNS-Antwort für eine FQDN-Objektanfrage in mehr als 32 IPv4-Adressen oder mehr als 32 IPv6-Adressen aufgelöst wird, beschränkt Cloud NGFW die programmierten IP-Adressen in den Firewallregeln auf die ersten 32 IPv4-Adressen und die ersten 32 IPv6-Adressen.

• FQDN-Objekte ignorieren. Wenn Cloud NGFW ein FQDN-Objekt nicht in eine IP-Adresse auflösen kann, wird es ignoriert. In den folgenden Situationen ignoriert Cloud NGFW ein FQDN-Objekt:

  • Wenn NXDOMAIN-Antworten empfangen werden. NXDOMAIN -Antworten sind explizite Antworten von einem Nameserver, die angeben, dass kein DNS-Eintrag für die FQDN-Objektanfrage vorhanden ist.

  • Wenn in einer Antwort keine IP-Adresse vorhanden ist. In dieser Situation führt eine FQDN-Objektanfrage nicht zu einer Antwort mit einer IP-Adresse, die Cloud NGFW zum Programmieren einer Firewallregel verwenden kann.

  • Wenn der Cloud DNS-Server nicht erreichbar ist. Cloud NGFW ignoriert FQDN-Objekte, wenn ein DNS-Server, der die Antwort liefert, nicht erreichbar ist.

  Wenn ein FQDN-Objekt ignoriert wird, programmiert Cloud NGFW nach Möglichkeit die verbleibenden Teile einer Firewallregel.

Überlegungen zu FQDN-Objekten

Berücksichtigen Sie bei FQDN-Objekten Folgendes:

• Sie können FQDNs mit anderen Parametern kombinieren. Weitere Informationen zu Kombinationen von Quell parametern in Regeln für eingehenden Traffic finden Sie unter Quellen für Regeln für eingehenden Traffic. Weitere Informationen zu Kombinationen von Zielparametern in Regeln für ausgehenden Traffic finden Sie unter Ziele für Regeln für ausgehenden Traffic.

• Da FQDN-Objekte IP-Adressen zugeordnet und als solche programmiert werden, verwendet Cloud NGFW das folgende Verhalten, wenn zwei oder mehr FQDN-Objekte derselben IP-Adresse zugeordnet sind. Angenommen, Sie haben die folgenden beiden Firewallregeln, die auf dasselbe Ziel angewendet werden:

  • Regel 1: Priorität 100, eingehender Traffic von Quell-FQDN example1.com zulassen
  • Regel 2: Priorität 200, eingehender Traffic von Quell-FQDN example2.com zulassen

  Wenn sowohl example1.com als auch example2.com in derselben IP-Adresse aufgelöst werden, stimmen eingehende Pakete von example1.com und example2.com mit der ersten Firewallregel überein, da diese Regel eine höhere Priorität hat.

• Zu den Überlegungen zur Verwendung von FQDN-Objekten gehören:

  • Eine DNS-Abfrage kann je nach Standort des anfragenden Clients eindeutige Antworten haben.

  • DNS-Antworten können sehr unterschiedlich sein, wenn ein DNS-basiertes Load-Balancing-System beteiligt ist.

  • Eine DNS-Antwort kann mehr als 32 IPv4-Adressen enthalten.

  • Eine DNS-Antwort kann mehr als 32 IPv6-Adressen enthalten.

  Da Cloud NGFW in den oben genannten Situationen DNS-Abfragen in jeder Region ausführt, die die VM-Netzwerkschnittstelle enthält, auf die die Firewallregel angewendet wird, enthalten die programmierten IP-Adressen in Firewallregeln nicht alle möglichen IP-Adressen, die mit dem FQDN verknüpft sind.

  Die meisten Google-Domainnamen wie googleapis.com unterliegen einer oder mehreren dieser Situationen. Verwenden Sie stattdessen IP-Adressen oder Adressgruppen.

• Verwenden Sie keine FQDN-Objekte mit DNS-A-Einträgen mit einer TTL (Time-to-Live) von weniger als 90 Sekunden.

Domainnamen formatieren

FQDN-Objekte müssen dem Standard-FQDN-Format entsprechen. Dieses Format ist definiert in RFC 1035, RFC 1123 und RFC 4343. Cloud NGFW lehnt FQDN-Objekte ab, die einen Domainnamen enthalten, der nicht allen folgenden Formatierungsregeln entspricht:

• Jedes FQDN-Objekt muss ein Domainname mit mindestens zwei Labels sein:

  • Jedes Label muss mit einem regulären Ausdruck übereinstimmen, der nur diese Zeichen enthält: [a-z]([-a-z0-9][a-z0-9])?..
  • Jedes Label muss eine Länge von 1 bis 63 Zeichen haben.
  • Labels müssen mit einem Punkt (.) verkettet werden.

  Daher unterstützen FQDN-Objekte keine Platzhalter (*) oder Stammdomainnamen der obersten Ebene wie *.example.com. und .org, da diese nur ein einzelnes Label enthalten.

• FQDN-Objekte unterstützen internationalisierte Domainnamen (IDNs). Sie können einen IDN entweder im Unicode- oder im Punycode-Format angeben. Berücksichtige Folgendes:

  • Wenn Sie einen IDN im Unicode-Format angeben, wird er von Cloud NGFW vor der Verarbeitung in das Punycode-Format konvertiert.

  • Mit dem IDN-Konverter können Sie die Punycode-Darstellung eines IDN erstellen.

  • Die Zeichenbeschränkung von 1 bis 63 pro Label gilt für IDNs nach der Konvertierung in das Punycode-Format.

• Die codierte Länge eines voll qualifizierten Domainnamens (FQDN) darf 255 Byte (Oktett) nicht überschreiten.

Cloud NGFW unterstützt keine entsprechenden Domainnamen in derselben Firewallregel. Wenn sich die beiden Domainnamen (oder Punycode-Darstellungen von IDNs) beispielsweise höchstens durch einen abschließenden Punkt (.) unterscheiden, betrachtet Cloud NGFW sie als gleichwertig.

Nächste Schritte

• Komponenten von Firewallrichtlinienregeln
• Google Threat Intelligence für Firewallrichtlinienregeln
• Adressgruppen für Firewallrichtlinien