Beim Erstellen einer Firewallrichtlinienregel geben Sie eine Reihe von Komponenten an, die die Funktionsweise der Regel definieren. Diese Komponenten geben Merkmale für Trafficrichtung, Quelle, Ziel und Ebene 4 an, z. B. Protokoll und Zielport (wenn das Protokoll Ports verwendet).
Jede Firewall-Richtlinien-regel gilt entweder für eingehende (ingress) oder für ausgehende Verbindungen (egress), jedoch nicht für beide Verbindungen.
Regeln für eingehenden Traffic
Die eingehende Traffic-Richtung bezieht sich auf die eingehenden Verbindungen, die von bestimmten Quellen an Google Cloud-Ziele gesendet werden. Eingangsregeln gelten für eingehende Pakete, wo das Ziel der Pakete das Ziel ist.
Eine Regel für eingehenden Traffic mit einer deny
-Aktion schützt alle Instanzen, indem eingehende Verbindungen an diese blockiert werden. Der eingehende Zugriff kann über eine Regel mit höherer Priorität zugelassen werden. Ein automatisch erstelltes Standardnetzwerk enthält einige vorausgefüllte VPC-Firewallregeln, die eingehenden Traffic für bestimmte Arten von Traffic zulassen.
Regeln für ausgehenden Traffic
Die Richtung "Ausgehender Traffic" bezieht sich auf den ausgehenden Traffic, der von einem Ziel an ein Ziel gesendet wird. Ausgangsregeln gelten für Pakete für neue Verbindungen, bei denen die Quelle des Pakets das Ziel ist.
Bei einer Regel für ausgehenden Traffic mit einer allow
-Aktion kann eine Instanz Traffic an die in der Regel angegebenen Ziele senden. Ausgehender Traffic kann durch deny
-Firewallregeln mit höherer Priorität abgelehnt werden. Außerdem blockiert oder begrenzt Google Cloud bestimmte Arten von Traffic.
Komponenten von Firewallrichtlinienregeln
Regeln in hierarchischen Firewallrichtlinien, globalen Netzwerk-Firewallrichtlinien und regionalen Netzwerk-Firewallrichtlinien verwenden die in diesem Abschnitt beschriebenen Komponenten. Der Begriff Firewallrichtlinie bezieht sich auf alle dieser drei Richtlinientypen. Weitere Informationen zu den Arten von Firewallrichtlinien finden Sie unter Firewallrichtlinien.
Firewallrichtlinienregeln funktionieren im Allgemeinen wie VPC-Firewallregeln. Es gibt jedoch einige Unterschiede, die in den folgenden Abschnitten beschrieben werden.
Priorität
Die Priorität einer Regel in einer Firewallrichtlinie ist eine Ganzzahl von 0 bis einschließlich 2.147.483.647. Niedrigere Werte bedeuten eine höhere Priorität. Die Priorität einer Regel in einer Firewallrichtlinie ähnelt der Priorität einer VPC-Firewall-Regel, mit den folgenden Unterschieden:
- Jede Regel in einer Firewallrichtlinie muss eine eindeutige Priorität haben.
- Die Priorität einer Regel in einer Firewallrichtlinie dient als eindeutige Kennung der Regel. Regeln in Firewallrichtlinien verwenden keine Namen zur Identifizierung.
- Die Priorität einer Regel in einer Firewallrichtlinie definiert die Auswertungsreihenfolge innerhalb der Firewallrichtlinie selbst. VPC-Firewallregeln und -Regeln in hierarchischen Firewallrichtlinien, globalen Netzwerk-Firewallrichtlinien und regionalen Netzwerk-Firewallrichtlinien werden wie unter Richtlinien- und Regelauswertungsreihenfolge beschrieben ausgewertet.
Aktion bei Übereinstimmung
Eine Regel in einer Firewallrichtlinie kann eine der folgenden Aktionen haben:
allow
lässt Traffic zu und beendet die weitere Regelauswertung.deny
lässt keinen Traffic zu und die weitere Regelauswertung wird beendet.
apply_security_profile_group
fängt den Traffic transparent ab und sendet ihn für die Layer-7-Prüfung an den konfigurierten Firewallendpunkt.
goto_next
setzt den Regelauswertungsprozess fort.
Erzwingung
Sie können auswählen, ob eine Firewallrichtlinienregel für erzwungen werden soll. Dazu legen Sie deren Status auf "Aktiviert" oder "Deaktiviert" fest. Sie können den Erzwingungszustand festlegen, wenn Sie eine Regel erstellen oder eine Regel aktualisieren.
Wenn Sie beim Erstellen einer neuen Firewallregel keinen Erzwingungsstatus festlegen, wird die Firewallregel automatisch aktiviert.
Protokolle und Ports
Ähnlich wie bei Regeln von VPC-Firewallregeln müssen Sie beim Erstellen einer Regel eine oder mehrere Protokoll- und Porteinschränkungen angeben. Beim Angeben von TCP oder UDP in einer Regel können Sie das Protokoll, das Protokoll und einen Zielport oder das Protokoll und einen Zielportbereich angeben. Sie können nicht nur einen Port oder Portbereich angeben. Außerdem können Sie nur Zielports angeben. Regeln für Quellports werden nicht unterstützt.
Sie können die folgenden Protokollnamen in Firewallregeln verwenden: tcp
, udp
, icmp
(für IPv4 ICMP), esp
, ah
, sctp
und ipip
. Verwenden Sie für alle anderen Protokolle die IANA-Protokollnummern.
Viele Protokolle verwenden bei IPv4 und IPv6 denselben Namen und dieselbe Nummer, einige Protokolle wie ICMP jedoch nicht. Verwenden Sie icmp
oder die Protokollnummer 1
, um IPv4 ICMP anzugeben. Verwenden Sie für IPv6 ICMP die Protokollnummer 58
.
Firewallregeln unterstützen nicht die Angabe von ICMP-Typen und -Codes, sondern nur das Protokoll.
Das IPv6-Hop-by-Hop-Protokoll wird in Firewallregeln nicht unterstützt.
Wenn Sie keine Protokoll- und Portparameter angeben, gilt die Regel für alle Protokolle und Zielports.
Logging
Das Logging für Regeln von Firewallrichtlinien funktioniert genauso wie das Logging von Regeln in VPC-Firewalls, mit folgenden Ausnahmen:
Das Referenzfeld enthält die Firewallrichtlinien-ID und eine Zahl, die die Ebene der Ressource angibt, mit dem die Richtlinie verknüpft ist.
0
bedeutet beispielsweise, dass die Richtlinie auf eine Organisation angewendet wird, und1
, dass die Richtlinie auf einen Ordner auf oberster Ebene unter der Organisation angewendet wird.Logs für Regeln Firewallrichtlinien enthalten ein
target_resource
-Feld, das die VPC-Netzwerke angibt, auf die die Regel angewendet wird.
- Logging kann nur für
allow
-,deny
- undapply_security_profile_group
-Regeln aktiviert werden, nicht jedoch fürgoto_next
-Regeln.
Ziel, Quelle, Bestimmungsort
Zielparameter identifizieren die Netzwerkschnittstellen von Instanzen, für die eine Firewallregel gilt.
Sie können sowohl Quellparameter als auch Zielparameter angeben, die für die Paketquellen oder Ziele für Firewallregeln für eingehenden und ausgehenden Traffic gelten. Die Richtung der Firewallregel bestimmt die möglichen Werte für die Quell- und Zielparameter.
Die Ziel- und Quellparameter arbeiten zusammen.
Ziele
Der Zielparameter identifiziert die Netzwerkschnittstellen der Compute Engine-Instanzen, einschließlich GKE-Knoten und Instanzen der flexiblen App Engine-Umgebung.
Sie können Ziele für Regeln für eingehenden oder ausgehenden Traffic definieren. Gültige Zieloptionen hängen vom Typ der Firewallrichtlinie ab.
Ziele für hierarchische Firewallrichtlinienregeln
Hierarchische Firewallrichtlinienregeln unterstützen die folgenden Ziele:
Breitestes Standardziel: Wenn Sie die Zielspezifikation in einer hierarchischen Firewallrichtlinienregel weglassen, gilt die Firewallregel für alle Instanzen in allen VPC-Netzwerken in allen Projekten unter dem Resource Manager-Knoten (Ordner oder Organisation), der mit der Firewallrichtlinie verknüpft ist. Dies ist der breiteste Satz von Zielen.
Bestimmte Netzwerke: Wenn Sie ein oder mehrere VPC-Netzwerke mit dem Parameter
target-resources
angeben, ist der breiteste Satz von Zielen auf VMs mit einer Netzwerkschnittstelle in mindestens einem der angegebenen VPC-Netzwerke beschränkt.Nach Dienstkonto identifizierte Instanzen: Wenn Sie ein oder mehrere Dienstkonten mit dem Parameter
target-service-accounts
angeben, ist der breiteste Satz von Zielen auf VMs beschränkt, die eines der angegebenen Dienstkonten verwenden.Bestimmte Netzwerke und Instanzen, die durch das Dienstkonto identifiziert werden: Wenn Sie sowohl den Parameter
target-resources
als auch den Parametertarget-service-accounts
angeben, wird der breiteste Satz von Zielen auf die VMs beschränkt, die die folgenden zwei Kriterien erfüllen:- Die VMs haben eine Netzwerkschnittstelle in einem der angegebenen VPC-Netzwerke.
- Die VMs verwenden eines der angegebenen Dienstkonten.
Ziele für globale Netzwerk-Firewallrichtlinienregeln
Globale Netzwerk-Firewallrichtlinienregeln unterstützen die folgenden Ziele:
Standardziel – alle Instanzen im VPC-Netzwerk: Wenn Sie die Zielspezifikation in einer globalen Netzwerk-Firewallrichtlinienregel weglassen, gilt die Firewallregel für Instanzen, die eine Netzwerkschnittstelle im mit der Richtlinie verknüpften VPC-Netzwerk haben. Die Instanzen können sich in einer beliebigen Region befinden. Dies ist der breiteste Satz von Zielen.
Instanzen nach sicheren Ziel-Tags: Wenn Sie Ziel-Tags mit dem Parameter
target-secure-tags
angeben, ist der breiteste Satz von Zielen auf die an die Tags gebundenen VMs beschränkt.Instanzen nach Zieldienstkonten: Wenn Sie Dienstkonten mit dem Parameter
target-service-accounts
angeben, ist der breiteste Satz von Zielen auf die VMs beschränkt, die eines der angegebenen Dienstkonten verwenden.
Ziele für regionale Netzwerk-Firewallrichtlinienregeln
Regionale Netzwerk-Firewallrichtlinienregeln unterstützen die folgenden Ziele:
Standardziel – alle Instanzen in der Region und im VPC-Netzwerk: Wenn Sie die Zielspezifikation in einer regionalen Netzwerk-Firewallrichtlinienregel weglassen, gilt die Firewallregel für Instanzen, die eine Netzwerkschnittstelle im mit der Richtlinie verknüpften VPC-Netzwerk haben. Die Instanzen müssen sich in derselben Region wie die Richtlinie befinden. Dies ist der breiteste Satz von Zielen.
Instanzen nach sicheren Ziel-Tags: Wenn Sie Ziel-Tags mit dem Parameter
target-secure-tags
angeben, ist der breiteste Satz von Zielen auf die an die Tags gebundenen VMs beschränkt.Instanzen nach Zieldienstkonten: Wenn Sie Dienstkonten mit dem Parameter
target-service-accounts
angeben, ist der breiteste Satz von Zielen auf die VMs beschränkt, die eines der angegebenen Dienstkonten verwenden.
Ziele und IP-Adressen für Regeln für eingehenden Traffic
Die an die Netzwerkschnittstelle einer Ziel-VM weitergeleiteten Pakete werden gemäß den folgenden Bedingungen verarbeitet:
Wenn die Firewallregel für eingehenden Traffic einen Ziel-IP-Adressbereich enthält, muss das Ziel des Pakets in einen der explizit definierten Ziel-IP-Adressbereiche passen (Funktion in der Vorabversion).
Wenn die Firewallregel für eingehenden Traffic keinen Ziel-IP-Adressbereich enthält, muss das Ziel des Pakets mit einer der folgenden IP-Adressen übereinstimmen:
Die primäre interne IPv4-Adresse, die der NIC der Instanz zugewiesen ist.
Alle konfigurierten Alias-IP-Adressbereiche auf der NIC der Instanz.
Die externe IPv4-Adresse, die der NIC der Instanz zugeordnet ist.
Beliebige IPv6-Adresse, die der NIC zugewiesenen ist, wenn IPv6 im Subnetz konfiguriert ist.
Eine interne oder externe IP-Adresse, die mit einer Weiterleitungsregel verbunden ist, die für das Passthrough Load-Balancing verwendet wird, wobei die Instanz ein Backend für einen internen Passthrough Network Load Balancer oder einen externen Passthrough Network Load Balancer ist.
Eine interne oder externe IP-Adresse, die einer Weiterleitungsregel für die Protokollweiterleitung zugeordnet ist, wobei auf die Instanz von einer Zielinstanz verwiesen wird.
Eine IP-Adresse im Zielbereich einer benutzerdefinierten statischen Route, die die Instanz (
next-hop-instance
odernext-hop-address
) als VM des nächsten Hops verwendet.Eine IP-Adresse innerhalb des Zielbereichs einer benutzerdefinierten statischen Route, die einen internen Passthrough Network Load Balancer (
next-hop-ilb
) als nächsten Hop verwendet, wenn die VM ein Backend für diesen Load-Balancer ist.
Ziele und IP-Adressen für Regeln für ausgehenden Traffic
Die Verarbeitung von Paketen, die von der Netzwerkschnittstelle eines Ziels ausgegeben werden, hängt von der Konfiguration der IP-Weiterleitung auf der Ziel-VM ab. Die IP-Weiterleitung ist standardmäßig deaktiviert.
Wenn für die Ziel-VM die IP-Weiterleitung deaktiviert ist, kann die VM Pakete mit den folgenden Quellen ausgeben:
Die primäre interne IPv4-Adresse der NIC einer Instanz.
Jeder konfigurierte Alias-IP-Adressbereich auf der NIC einer Instanz.
Beliebige IPv6-Adresse, die der NIC zugewiesenen ist, wenn IPv6 im Subnetz konfiguriert ist.
Eine interne oder externe IP-Adresse, die mit einer Weiterleitungsregel verbunden ist, für Passthrough Load-Balancing oder Protokollweiterleitung. Dies gilt, wenn die Instanz ein Backend für einen internen Passthrough Network Load Balancer oder einen externen Passthrough Network Load Balancer ist oder von einer Zielinstanz referenziert wird.
Wenn die Firewallregel für ausgehenden Traffic Quell-IP-Adressbereiche enthält, sind die Ziel-VMs weiterhin auf die zuvor erwähnten Quell-IP-Adressen beschränkt. Sie können diesen Satz jedoch mit dem Quellparameter verfeinern. Wenn Sie einen Quellparameter verwenden, ohne die IP-Weiterleitung zu aktivieren, wird der Satz möglicher Paketquelladressen nicht erweitert.
Wenn die Firewallregel für ausgehenden Traffic keinen Quell-IP-Adressbereich enthält, sind alle zuvor genannten Quell-IP-Adressen zulässig.
Wenn für die Ziel-VM die IP-Weiterleitung aktiviert ist, kann die VM Pakete mit beliebigen Quelladressen ausgeben. Mit dem Quellparameter können Sie den Satz zulässiger Paketquellen genauer definieren.
Quellen
Die Quellparameterwerte hängen von folgenden Faktoren ab:
- Dem Typ der Firewallrichtlinie, die die Firewallregel enthält
- Der Richtung der Firewallregel
Quellen für Regeln für eingehenden Traffic in hierarchischen Firewallrichtlinien
Sie können die folgenden Quellen für Regeln für eingehenden Traffic in hierarchischen Firewallrichtlinien verwenden:
Standardquellbereich: Wenn Sie eine Quellspezifikation in einer Regel für eingehenden Traffic weglassen, verwendet Google Cloud den Standard-IPv4-Adressbereich
0.0.0.0/0
(beliebige IPv4-Adresse). Der Standardwert enthält keine IPv6-Quellen.IPv4-Quelladressbereiche: Eine Liste von IPv4-Adressen im CIDR-Format.
IPv6-Quelladressbereiche: Eine Liste von IPv6-Adressen im CIDR-Format.
Standorte: Eine Liste mit einem oder mehreren geografischen Standorten, die als Ländercodes mit zwei Buchstaben oder Regionscodes angegeben sind, um eingehenden Traffic zu filtern. Weitere Informationen finden Sie unter Standortobjekte.
- Threat Intelligence-Listen: Eine Liste mit einem oder mehreren vordefinierten Threat Intelligence-Listennamen. Weitere Informationen finden Sie unter Threat Intelligence für Firewallrichtlinien-Regeln.
Quelladressgruppen: Eine Liste von einer oder mehreren Quelladressgruppen, die aus IPv4-CIDRs oder IPv6-CIDRs bestehen. Weitere Informationen zu Adressgruppen finden Sie unter Adressgruppen für Firewallrichtlinien.
Quelldomainnamen: Eine Liste von einem oder mehreren Quelldomainnamen. Weitere Informationen zu Domainnamen finden Sie unter Domainname für Firewallrichtlinien.
Eine gültige Quellkombination: Sie können verschiedene Kombinationen der vorherigen Quellen in den Regeln für eingehenden Traffic angeben. Der effektive Satz von Quellen ist eine Vereinigung dieser Kombinationen.
Wenn Sie eine Kombination aus Quellen in einer Regel für eingehenden Traffic angeben, wird die Regel auf ein Paket angewendet, das mindestens einem der Quellparameterkriterien entspricht.
Beachten Sie beim Definieren von Quellkombinationen für eine Regel diese Leitlinien:
- Verwenden Sie nicht sowohl Quell-IPv4-Adressbereiche als auch IPv6-Quelladressbereiche in derselben Regel.
- Verwenden Sie keine Quelladressgruppe, die IPv4-CIDRs enthält, mit einer anderen Quelladressgruppe, die IPv6-CIDRs in derselben Regel enthält.
- IPv4-Quelladressbereiche dürfen nicht mit einer Quelladressgruppe verwendet werden, die IPv6-CIDRs in derselben Regel enthält.
- Verwenden Sie in derselben Regel keine IPv6-Quelladressbereiche und eine Quelladressgruppe, die IPv4-CIDRs enthält.
Quellen für Regeln für eingehenden Traffic in Netzwerk-Firewallrichtlinien
Sie können die folgenden Quellen für Regeln für eingehenden Traffic in globalen und regionalen Netzwerk-Firewallrichtlinien verwenden:
Standardquellbereich: Wenn Sie eine Quellspezifikation in einer Regel für eingehenden Traffic weglassen, verwendet Google Cloud den Standard-IPv4-Adressbereich
0.0.0.0/0
(beliebige IPv4-Adresse). Der Standardwert enthält keine IPv6-Quellen.IPv4-Quelladressbereiche: Eine Liste von IPv4-Adressen im CIDR-Format.
IPv6-Quelladressbereiche: Eine Liste von IPv6-Adressen im CIDR-Format.
Standorte: Eine Liste mit einem oder mehreren geografischen Standorten, die als Ländercodes mit zwei Buchstaben oder Regionscodes angegeben sind, um eingehenden Traffic zu filtern. Weitere Informationen finden Sie unter Standortobjekte.
- Threat Intelligence-Listen: Eine Liste mit einem oder mehreren vordefinierten Threat Intelligence-Listennamen. Weitere Informationen finden Sie unter Threat Intelligence für Firewallrichtlinien-Regeln.
Quelladressgruppen: Eine Liste von einer oder mehreren Quelladressgruppen, die aus IPv4-CIDRs oder IPv6-CIDRs bestehen. Weitere Informationen zu Adressgruppen finden Sie unter Adressgruppen für Firewallrichtlinien.
Quelldomainnamen: Eine Liste von einem oder mehreren Quelldomainnamen. Weitere Informationen zu Domainnamen finden Sie unter Domainname für Firewallrichtlinien.
Sichere Quell-Tags: Ein oder mehrere sichere Tags, die Netzwerkschnittstellen von VM-Instanzen im selben VPC-Netzwerk identifizieren, für das die Netzwerk-Firewallrichtlinie gilt, oder in einem VPC-Netzwerk, das über VPC-Netzwerk-Peering mit dem Netzwerk der Firewallrichtlinie verbunden ist. Wenn die Richtlinie eine regionale Netzwerk-Firewallrichtlinie ist, müssen sich außerdem die VM-Instanzen in derselben Region wie die Richtlinie befinden.
Eine gültige Quellkombination: Sie können verschiedene Kombinationen der vorherigen Quellen in den Regeln für eingehenden Traffic angeben. Der effektive Satz von Quellen ist eine Vereinigung dieser Kombinationen.
Wenn Sie eine Kombination aus Quellen in einer Regel für eingehenden Traffic angeben, wird die Regel auf ein Paket angewendet, das mindestens einem der Quellparameterkriterien entspricht.
Beachten Sie beim Definieren von Quellkombinationen für eine Regel diese Leitlinien:
- Verwenden Sie nicht sowohl Quell-IPv4-Adressbereiche als auch IPv6-Quelladressbereiche in derselben Regel.
- Verwenden Sie keine Quelladressgruppe, die IPv4-CIDRs enthält, mit einer anderen Quelladressgruppe, die IPv6-CIDRs in derselben Regel enthält.
- IPv4-Quelladressbereiche dürfen nicht mit einer Quelladressgruppe verwendet werden, die IPv6-CIDRs in derselben Regel enthält.
- Verwenden Sie in derselben Regel keine IPv6-Quelladressbereiche und eine Quelladressgruppe, die IPv4-CIDRs enthält.
Wie sichere Quell-Tags Paketquellen implizieren
Regeln für eingehenden Traffic in globalen und regionalen Netzwerk-Firewallrichtlinien können Quellen mithilfe sicherer Tags angeben. Jedes sichere Tag ist mit einem einzelnen VPC-Netzwerk verknüpft. Das sichere Tag kann nur dann an eine VM gebunden werden, wenn diese VM eine Netzwerkschnittstelle in demselben VPC-Netzwerk hat, dem das sichere Tag zugeordnet ist.
Firewallrichtlinienregeln mit sicheren Tags werden so angewendet:
Regeln für eingehenden Traffic in einer globalen Netzwerkrichtlinie gelten für Pakete, die von der Netzwerkschnittstelle einer VM ausgegeben werden, die an das Tag gebunden ist, wobei die VM eines der folgenden Kriterien erfüllt:
- Die Netzwerkschnittstelle der VM verwendet dasselbe VPC-Netzwerk wie die Firewallrichtlinie.
- Die Netzwerkschnittstelle der VM verwendet ein VPC-Netzwerk, das über VPC-Netzwerk-Peering mit dem VPC-Netzwerk der Firewallrichtlinie verbunden ist.
Regeln für eingehenden Traffic in einer regionalen Netzwerkrichtlinie gelten für Pakete, die von der Netzwerkschnittstelle einer VM ausgegeben werden, die an das Tag gebunden ist, wobei die VM in derselben Region wie die Firewallrichtlinie eines der folgenden Kriterien erfüllt:
- Die Netzwerkschnittstelle der VM verwendet dasselbe VPC-Netzwerk wie die Firewallrichtlinie.
- Die Netzwerkschnittstelle der VM verwendet ein VPC-Netzwerk, das über VPC-Netzwerk-Peering mit dem VPC-Netzwerk der Firewallrichtlinie verbunden ist.
Zusätzlich zur Angabe einer Netzwerkschnittstelle werden die folgenden Quell-IP-Adressen aufgelöst:
- Die primäre interne IPv4-Adresse dieser Netzwerkschnittstelle
- Alle IPv6-Adressen, die dieser Netzwerkschnittstelle zugewiesen sind
Wenn eine Firewallregel für eingehenden Traffic auch Ziel-IP-Adressbereiche enthält, wird die an ein sicheres Tag gebundene Netzwerkschnittstelle in dieselbe IP-Version aufgelöst wie der Ziel-IP-Bereich.
Bei der Verwendung von sicheren Quell-Tags werden keine anderen Quell-IP-Adressen aufgelöst. Beispielsweise werden Alias-IP-Adressbereiche und externe IPv4-Adressen, die der Netzwerkschnittstelle zugeordnet sind, ausgeschlossen. Wenn Sie Firewallregeln für eingehenden Traffic erstellen müssen, deren Quellen Alias-IP-Adressbereiche oder externe IPv4-Adressen enthalten, verwenden Sie IPv4-Quelladressbereiche.
Quellen für Regeln für ausgehenden Traffic
Sie können die folgenden Quellen für Regeln für ausgehenden Traffic sowohl in hierarchischen Firewallrichtlinien als auch in Netzwerk-Firewallrichtlinien verwenden:
Standard – durch Ziel impliziert: Wenn Sie den Quellparameter in einer Regel für ausgehenden Traffic weglassen, werden die Paketquellen implizit wie in Ziele und IP-Adressen für Regeln für ausgehenden Traffic beschrieben definiert.
IPv4-Quelladressbereiche: Eine Liste von IPv4-Adressen im CIDR-Format.
IPv6-Quelladressbereiche: Eine Liste von IPv6-Adressen im CIDR-Format.
Befolgen Sie diese Richtlinien, um Quell-IP-Adressbereiche für Regeln für ausgehenden Traffic hinzuzufügen:
- Wenn einer VM-Schnittstelle sowohl interne als auch externe IPv4-Adressen zugewiesen sind, wird nur die interne IPv4-Adresse während der Regelauswertung verwendet.
Wenn Sie in der Regel für ausgehenden Traffic einen Quell-IP-Adressbereich und Zielparameter haben, werden die Zielparameter in dieselbe IP-Version aufgelöst wie die Quell-IP-Version.
Beispiel: In einer Regel für ausgehenden Traffic haben Sie im Quellparameter einen IPv4-Adressbereich und im Zielparameter ein FQDN-Objekt. Wenn der FQDN sowohl in IPv4- als auch in IPv6-Adressen aufgelöst wird, wird während der Regelerzwingung nur die aufgelöste IPv4-Adresse verwendet.
Ziele
Ziele können mithilfe von IP-Adressbereichen angegeben werden, die sowohl von Regeln für eingehenden als auch von Regeln für ausgehenden Traffic in hierarchischen und Netzwerk-Firewallrichtlinien unterstützt werden. Das Standardverhalten des Ziels hängt von der Richtung der Regel ab.
Ziele für Regeln für eingehenden Traffic
Sie können die folgenden Ziele für Firewallregeln für eingehenden Traffic sowohl in hierarchischen als auch in Netzwerk-Firewallrichtlinien verwenden:
Standard – durch Ziel impliziert: Wenn Sie den Zielparameter in einer Regel für eingehenden Traffic weglassen, werden die Paketziele implizit definiert, wie unter Ziele und IP-Adressen für Regeln für eingehenden Traffic beschrieben.
IPv4-Zieladressbereiche: Eine Liste von IPv4-Adressbereichen im CIDR-Format.
IPv6-Zieladressbereiche: Eine Liste von IPv6-Adressbereichen im CIDR-Format.
Befolgen Sie diese Richtlinien, um Ziel-IP-Adressbereiche für Regeln für eingehenden Traffic hinzuzufügen:
Wenn einer VM-Schnittstelle sowohl interne als auch externe IPv4-Adressen zugewiesen sind, wird nur die interne IPv4-Adresse während der Regelauswertung verwendet.
Wenn Sie sowohl Quell- als auch Zielparameter in einer Regel für eingehenden Traffic definiert haben, werden die Quellparameter in dieselbe IP-Version wie die Ziel-IP-Version aufgelöst. Weitere Informationen zum Definieren einer Quelle für Regeln für eingehenden Traffic finden Sie unter Quellen für Regeln für eingehenden Traffic in hierarchischen Firewallrichtlinien und Quellen für Regeln für eingehenden Traffic in Netzwerk-Firewallrichtlinien.
Beispiel: In einer Regel für eingehenden Traffic haben Sie im Zielparameter einen IPv6-Adressbereich und im Quellparameter einen Ländercode für die Standortbestimmung. Während der Regelerzwingung wird für den angegebenen Ländercode nur die zugeordnete IPv6-Adresse verwendet.
Ziele für Regeln für ausgehenden Traffic
Sie können die folgenden Ziele für Firewallregeln für ausgehenden Traffic sowohl in hierarchischen als auch in Netzwerk-Firewallrichtlinien verwenden:
Standardzielbereich: Wenn Sie in einer Regel für ausgehenden Traffic eine Zielspezifikation weglassen, verwendet Google Cloud den Standard-IPv4-Adressbereich
0.0.0.0/0
(beliebige IPv4-Adresse). Der Standardwert enthält keine IPv6-Ziele.IPv4-Zieladressbereiche: Eine Liste von IPv4-Adressbereichen im CIDR-Format.
IPv6-Zieladressbereiche: Eine Liste von IPv6-Adressbereichen im CIDR-Format.
Standorte: Eine Liste mit einem oder mehreren geografischen Zielstandorten, die als Ländercodes mit zwei Buchstaben oder Regionscodes angegeben sind, um eingehenden Traffic zu filtern. Weitere Informationen finden Sie unter Standortobjekte.
- Threat Intelligence-Listen: Eine Liste mit einem oder mehreren vordefinierten Threat Intelligence-Listennamen. Weitere Informationen finden Sie unter Threat Intelligence für Firewallrichtlinien-Regeln.
Zieladressgruppen: Eine Liste mit einer oder mehreren Zieladressgruppen, die entweder aus IPv4-CIDRs oder IPv6-CIDRs bestehen. Weitere Informationen zu Adressgruppen finden Sie unter Adressgruppen für Firewallrichtlinien.
Zieldomainnamen: Eine Liste mit einem oder mehreren Zieldomainnamen. Weitere Informationen zu Domainnamen finden Sie unter Domainname für Firewallrichtlinien.
Eine gültige Zielkombination: Sie können verschiedene Kombinationen der vorherigen Ziele in den Regeln für eingehenden Traffic angeben. Der effektive Satz von Zielen ist eine Vereinigung dieser Kombinationen.
Wenn Sie eine Kombination aus Zielen in einer Regel für ausgehenden Traffic angeben, wird die Regel auf ein Paket angewendet, das mindestens einem der Zielparameterkriterien entspricht.
Beachten Sie beim Definieren von Zielkombinationen für eine Regel diese Leitlinien:
- Verwenden Sie nicht sowohl Ziel-IPv4-Adressbereiche als auch Ziel-IPv6-Adressbereiche in derselben Regel.
- Verwenden Sie keine Zieladressgruppe, die IPv4-CIDRs enthält, mit einer anderen Zieladressgruppe, die IPv6-CIDRs in derselben Regel enthält.
- Verwenden Sie in derselben Regel keine IPv4-Zieladressbereiche und eine Zieladressgruppe, die IPv6-CIDRs enthält.
- Verwenden Sie in derselben Regel keine IPv6-Zieladressbereiche und eine Zieladressgruppe, die IPv4-CIDRs enthält.
Standortobjekte
Verwenden Sie Standortobjekte in Firewallrichtlinien-Regeln, um externen IPv4- und externen IPv6-Traffic anhand bestimmter geografischer Standorte oder Regionen zu filtern.
Sie können Regeln mit Standortobjekten auf eingehenden und ausgehenden Traffic anwenden. Basierend auf der Richtung des Traffics werden die mit den Ländercodes verknüpften IP-Adressen mit der Quelle oder dem Ziel des Traffics abgeglichen.
Sie können Standortobjekte für hierarchische Firewallrichtlinien, globale Netzwerk-Firewallrichtlinien und regionale Netzwerk-Firewallrichtlinien konfigurieren.
Verwenden Sie zum Hinzufügen von Standorten zu den Firewallrichtlinien-Regeln Ländercodes mit zwei Buchstaben oder Regionscodes, wie in den ISO 3166-Alpha-2-Ländercodes definiert.
Wenn Sie beispielsweise eingehenden Traffic nur aus den USA in das Netzwerk zulassen möchten, erstellen Sie eine Firewallregel für eingehenden Traffic und setzen Sie den Quellcode des Quelllandes auf
US
und die Aktion aufallow
. Wenn Sie ausgehenden Traffic nur in die USA zulassen möchten, konfigurieren Sie eine Firewallrichtlinien-Regel und setzen Sie den Ziellländercode aufUS
und die Aktion aufallow
.Mit Cloud Next Generation Firewall können Sie Firewallregeln für die folgenden Gebiete konfigurieren, die umfassenden US-Sanktionen unterliegen:
Gebiete Zugewiesener Code Krim XC Sogenannte Volksrepublik Donezk und sogenannte Volksrepublik Luhansk XD Wenn in einer einzelnen Firewallregel doppelte Ländercodes enthalten sind, wird nur ein Eintrag für diesen Ländercode beibehalten. Der doppelte Eintrag wird entfernt. In der Ländercodeliste
ca,us,us
wird beispielsweise nurca,us
beibehalten.Google verwaltet eine Datenbank mit IP-Adressen und Ländercodezuordnungen. Google Cloud-Firewalls verwenden diese Datenbank, um die IP-Adressen des Quell- und Zieltraffics dem Ländercode zuzuordnen. Anschließend wird die übereinstimmende Firewallrichtlinien-Regel mit Standortobjekten angewendet.
Manchmal ändern sich IP-Adresszuweisungen und Ländercodes aufgrund der folgenden Bedingungen:
- Standortübergreifende Verschiebung von IP-Adressen
- Aktualisierungen am ISO 3166-Alpha-2-Standard für Ländercodes
Da es einige Zeit dauern kann, bis diese Änderungen in der Google-Datenbank widergespiegelt werden, kommt es unter Umständen zu Trafficunterbrechungen und Verhaltensänderungen bei bestimmtem Traffic, der blockiert oder zugelassen wird.
Standortobjekte mit anderen Filtern für Firewallrichtlinien-Regeln verwenden
Sie können Standortobjekte zusammen mit anderen Quell- oder Zielfiltern verwenden. Abhängig von der Regelrichtung wird die Firewallrichtlinien-Regel auf den eingehenden oder ausgehenden Traffic angewendet, der der Vereinigung aller angegebenen Filter entspricht.
Informationen zur Funktionsweise von Standortobjekten mit anderen Quellfiltern in den Regeln für eingehenden Traffic finden Sie unter Quellen für Regeln für eingehenden Traffic in hierarchischen Firewallrichtlinien und Quellen für Regeln für eingehenden Traffic in Netzwerk-Firewallrichtlinien.
Informationen zur Funktionsweise von Standortobjekten mit anderen Zielfiltern in den Regeln für ausgehenden Traffic finden Sie unter Ziele für Regeln für ausgehenden Traffic.
Threat Intelligence für Firewallrichtlinien-Regeln
Mit Firewallrichtlinien-Regeln können Sie Ihr Netzwerk sichern, indem Sie Traffic auf der Grundlage von Threat Intelligence-Daten zulassen oder blockieren. Threat Intelligence-Daten enthalten Listen von IP-Adressen basierend auf den folgenden Kategorien:
- Tor-Ausgangsknoten: Tor ist eine Open-Source-Software, die anonyme Kommunikation ermöglicht. Wenn Sie Nutzer ausschließen möchten, die ihre Identität ausblenden, blockieren Sie die IP-Adressen der Tor-Ausgangsknoten (Endpunkte, an denen der Traffic das Tor-Netzwerk verlässt).
- Bekannte schädliche IP-Adressen: IP-Adressen, von denen bekannterweise Angriffe auf Webanwendungen ausgingen. Blockieren Sie diese IP-Adressen, um den Sicherheitsstatus Ihrer Anwendung zu verbessern.
- Suchmaschinen: IP-Adressen, für die Sie die Aktivierung der Websiteindexierung zulassen können.
- IP-Adressbereiche der öffentlichen Cloud: Diese Kategorie kann entweder blockiert werden, um zu verhindern, dass schädliche automatisierte Tools in Webanwendungen suchen, oder sie kann zugelassen werden, wenn Ihr Dienst andere öffentliche Clouds verwendet. Diese Kategorie ist in die folgenden Unterkategorien unterteilt:
- Von Amazon Web Services verwendete IP-Adressbereiche
- Von Microsoft Azure verwendete IP-Adressbereiche
- Von Google Cloud verwendete IP-Adressbereiche
- Von Google-Diensten verwendete IP-Adressbereiche
Die Threat Intelligence-Datenlisten können IPv4-Adressen, IPv6-Adressen oder beides enthalten. Um Threat Intelligence in Ihren Firewallrichtlinien-Regeln zu konfigurieren, verwenden Sie die vordefinierten Threat Intelligence-Listennamen basierend auf der Kategorie, die Sie zulassen oder blockieren möchten. Diese Listen werden kontinuierlich aktualisiert, um Dienste ohne zusätzliche Konfigurationsschritte vor neuen Bedrohungen zu schützen. Folgende Listennamen sind gültig:
Name der Liste | Beschreibung |
---|---|
iplist-tor-exit-nodes |
Entspricht IP-Adressen der TOR-Ausgangsknoten |
iplist-known-malicious-ips |
Entspricht IP-Adressen, die bekanntermaßen Angriffe auf Webanwendungen ausführen |
iplist-search-engines-crawlers |
Entspricht IP-Adressen von Suchmaschinen-Crawlern |
iplist-vpn-providers |
Entspricht IP-Adressen, die zu VPN-Anbietern mit niedrigem Ruf gehören |
iplist-anon-proxies |
Entspricht IP-Adressen, die zu offenen anonymen Proxys gehören |
iplist-crypto-miners |
Entspricht IP-Adressen, die zu Mining von Kryptowährungen gehören |
iplist-public-clouds
|
Entspricht IP-Adressen, die zu öffentlichen Clouds gehören
|
Threat Intelligence mit anderen Filtern für Firewallrichtlinien-Regeln verwenden
Befolgen Sie diese Richtlinien, um eine Firewallrichtlinien-Regel mit Threat Intelligence zu definieren:
Geben Sie für Regeln für ausgehenden Traffic das Ziel mithilfe einer oder mehrerer Threat Intelligence-Ziellisten an.
Geben Sie für Regeln für eingehenden Traffic die Quelle mit einer oder mehreren Threat Intelligence-Quelllisten an.
Sie können Threat Intelligence-Listen für hierarchische Firewallrichtlinien, globale Netzwerk-Firewallrichtlinien und regionale Netzwerk-Firewallrichtlinien konfigurieren.
Sie können diese Listen zusammen mit anderen Komponenten von Quell- oder Zielregelfiltern verwenden.
Informationen dazu, wie Threat Intelligence-Listen mit anderen Quellfiltern in den Eingangsregeln funktionieren, finden Sie unter Quellen für Regeln für eingehenden Traffic in hierarchischen Firewallrichtlinien und Quellen für Regeln für eingehenden Traffic in Netzwerk-Firewallrichtlinien.
Informationen zur Funktionsweise von Threat Intelligence mit anderen Zielfiltern in den Regeln für ausgehenden Traffic finden Sie unter Ziele für Regeln für ausgehenden Traffic.
Firewall-Logging erfolgt auf Regelebene. Fügen Sie nicht mehrere Threat Intelligence-Listen in eine einzelne Firewallregel ein, um die Fehlerbehebung und Analyse der Auswirkungen Ihrer Firewallregeln zu vereinfachen.
Sie können einer Firewallrichtlinienregel mehrere Threat Intelligence-Listen hinzufügen. Jeder in der Regel enthaltene Listenname wird als ein Attribut gezählt, unabhängig von der Anzahl der in dieser Liste enthaltenen IP-Adressen oder IP-Adressbereiche. Wenn Sie beispielsweise die Listennamen
iplist-tor-exit-nodes
,iplist-known-malicious-ips
undiplist-search-engines-crawlers
in die Firewallregel aufgenommen haben, erhöht sich die Anzahl der Regelattribute pro Firewallrichtlinie um: drei. Weitere Informationen zur Anzahl der Regelattribute finden Sie unter Kontingente und Limits.
Ausnahmen für Threat Intelligence-Listen erstellen
Wenn Sie Regeln für Threat Intelligence-Listen haben, können Sie mit den folgenden Methoden Ausnahmeregeln erstellen, die für bestimmte IP-Adressen innerhalb einer Threat Intelligence-Liste gelten:
Selektive Zulassungsliste: Angenommen, Sie haben eine Firewallregel für eingehenden oder ausgehenden Traffic, die Pakete von oder zu einer Threat Intelligence-Liste ablehnt. Wenn Sie Pakete von oder zu einer ausgewählten IP-Adresse innerhalb dieser Threat Intelligence-Liste zulassen möchten, erstellen Sie eine separate Zulassungs-Firewallregel für eingehenden oder ausgehenden Traffic mit höherer Priorität, die die Ausnahme-IP-Adresse als Quelle oder Ziel angibt.
Selektive Ablehnungsliste: Angenommen, Sie haben eine Firewallregel für eingehenden oder ausgehenden Traffic, die Pakete von oder zu einer Threat Intelligence-Liste zulässt. Wenn Sie Pakete von oder zu einer ausgewählten IP-Adresse innerhalb dieser Threat Intelligence-Liste ablehnen möchten, erstellen Sie eine Ablehnungs-Firewallregel für eingehenden oder ausgehenden Traffic mit höherer Priorität, die die Ausnahme-IP-Adresse als Quelle oder Ziel angibt.
Adressgruppen für Firewallrichtlinien
Adressbereiche sind eine logische Sammlung von IPv4-Adressbereichen oder IPv6-Adressbereichen im CIDR-Format. Mit Adressgruppen können Sie konsistente Quellen oder Ziele definieren, auf die viele Firewallregeln verweisen. Adressgruppen können ohne Änderung der Firewallregeln aktualisiert werden, von denen sie verwendet werden. Weitere Informationen zu Adressgruppen finden Sie unter Adressgruppen für Firewallrichtlinien.
Sie können Quell- und Zieladressgruppen für Firewallregeln für eingehenden und ausgehenden Traffic definieren.
Informationen zur Funktionsweise von Quelladressgruppen mit anderen Quellfiltern in den Regeln für eingehenden Traffic finden Sie unter Quellen für Regeln für eingehenden Traffic in hierarchischen Firewallrichtlinien und Quellen für Regeln für eingehenden Traffic in Netzwerk-Firewallrichtlinien.
Informationen zur Funktionsweise von Zieladressgruppen mit anderen Zielfiltern in den Regeln für ausgehenden Traffic finden Sie unter Ziele für Regeln für ausgehenden Traffic.
FQDN-Objekte
Verwenden Sie Objekte für voll qualifizierte Domainnamen (FQDN) in den Firewallrichtlinienregeln, um eingehenden oder ausgehenden Traffic von oder zu bestimmten Domains zu filtern.
Sie können Firewallregeln mit FQDN-Objekten sowohl auf eingehenden als auch auf ausgehenden Traffic anwenden. Abhängig von der Richtung des Traffics werden die mit den Domainnamen verknüpften IP-Adressen mit der Quelle oder dem Ziel des Traffics abgeglichen.
Sie können FQDN-Objekte in Firewallregeln für hierarchische Firewallrichtlinien, globale Netzwerk-Firewallrichtlinien und regionale Netzwerk-Firewallrichtlinien konfigurieren.
FQDN-Objekte müssen in der Standard-FQDN-Syntax angegeben werden.
Weitere Informationen zu Domainnamenformaten finden Sie unter Domainnamenformat.
Cloud NGFW aktualisiert in regelmäßigen Abständen die Richtlinien für Firewallrichtlinien, die FQDN-Objekte mit den neuesten Ergebnissen der Domainnamenauflösung enthalten.
Die in den Firewallrichtlinien-Regeln angegebenen Domainnamen werden entsprechend der Reihenfolge der VPC-Namensauflösung von Cloud DNS in IP-Adressen aufgelöst. Cloud DNS benachrichtigt die Cloud NGFW, wenn sich die Ergebnisse der Auflösung von Domainnamen ändern. Diese werden auch als DNS-Einträge (Domain Name System) bezeichnet.
Wenn zwei Domainnamen in dieselbe IP-Adresse aufgelöst werden, gilt die Firewallregel für diese IP-Adresse, nicht nur für eine Domain. Die FQDN-Objekte sind also Layer-3-Entitäten.
Wenn das FQDN-Objekt in der Firewallregel für ausgehenden Traffic eine Domain enthält, die CNAMEs im DNS-Eintrag enthält, müssen Sie die Firewallregel für ausgehenden Traffic mit allen Domainnamen konfigurieren, die Ihre VMs abfragen können, einschließlich aller potenziellen Aliasse, um das zuverlässige Verhalten der Firewallregel zu gewährleisten. Wenn Ihre VMs CNAMEs abfragen, die nicht in der Firewallregel für ausgehenden Traffic konfiguriert sind, funktioniert die Richtlinie möglicherweise während der Änderung der DNS-Einträge nicht.
Sie können in Ihren Regeln für Netzwerk-Firewallrichtlinien auch interne Compute Engine-DNS-Namen verwenden. Achten Sie jedoch darauf, dass Ihr Netzwerk nicht für die Verwendung eines alternativen Nameservers in der Serverrichtlinie für ausgehenden Traffic konfiguriert ist.
Wenn Sie in den Firewallrichtlinien-Regeln für Ihr Netzwerk benutzerdefinierte Domainnamen hinzufügen möchten, können Sie verwaltete Cloud DNS-Zonen für die Auflösung von Domainnamen verwenden. Achten Sie jedoch darauf, dass Ihr Netzwerk nicht für die Verwendung eines alternativen Nameservers in der Serverrichtlinie für ausgehenden Traffic konfiguriert ist. Weitere Informationen zur Zonenverwaltung finden Sie unter Zonen erstellen, ändern und löschen.
Beschränkungen
Die folgenden Einschränkungen gelten sowohl für eingehende als auch für ausgehende Firewallregeln, die FQDN-Objekte verwenden:
- FQDN-Objekte unterstützen weder Platzhalter (*) noch Stammdomainnamen der obersten Ebene.
Beispielsweise werden
*.example.com.
und.org
nicht unterstützt.
Sie können FQDN-Objekte in Firewallregeln für eingehenden Traffic verwenden. Beim Definieren von FQDN-Objekten für Regeln für eingehenden Traffic müssen Sie die folgenden Einschränkungen berücksichtigen:
Ein Domainname kann maximal 32 IPv4-Adressen und 32 IPv6-Adressen auflösen. DNS-Abfragen, die in mehr als 32 IPv4- und 32 IPv6-Adressen aufgelöst werden, werden gekürzt, um nur 32 IPv4- oder IPv6-Adressen dieser aufgelösten IP-Adressen aufzunehmen. Geben Sie daher keine Domainnamen an, die in mehr als 32 IPv4- und IPv6-Adressen in die Firewallregeln für eingehenden Traffic aufgelöst werden.
Einige Abfragen von Domainnamen haben je nach Standort des anfragenden Clients eindeutige Antworten. Der Standort, von dem aus die DNS-Auflösung der Firewallrichtlinien-Regel ausgeführt wird, ist die Google Cloud-Region mit der VM, für die die Firewallrichtlinien-Regel gilt.
Verwenden Sie keine Regeln für eingehenden Traffic mit FQDN-Objekten, wenn die Ergebnisse der Domainauflösung sehr variabel sind oder die Auflösung der Domainnamen eine Form des DNS-basierten Load-Balancings verwendet. Viele Google-Domainnamen verwenden beispielsweise ein DNS-basiertes Load-Balancing-Schema.
FQDN-Objekte mit anderen Filtern für Firewallrichtlinien-Regeln verwenden
In einer Firewallrichtlinien-Regel können Sie FQDN-Objekte zusammen mit anderen Quell- oder Zielfiltern definieren.
Informationen zur Funktionsweise von FQDN-Objekten mit anderen Quellfiltern in den Regeln für eingehenden Traffic finden Sie unter Quellen für Regeln für eingehenden Traffic in hierarchischen Firewallrichtlinien und Quellen für Regeln für eingehenden Traffic in Netzwerk-Firewallrichtlinien.
Weitere Informationen zur Funktionsweise von FQDN-Objekten mit anderen Zielfiltern in den Regeln für ausgehenden Traffic finden Sie unter Ziele für Regeln für ausgehenden Traffic.
Domainnamenformat
VPC-Firewalls unterstützen das Domainnamenformat wie in RFC 1035, RFC 1123 und RFC 4343 definiert.
Beachten Sie diese Formatierungsrichtlinien, um Domainnamen zu Firewallrichtlinien-Regeln hinzuzufügen.
Der Domainname muss mindestens zwei Labels enthalten, die so beschrieben werden:
- Jedes Label passt zu regulären Ausdrücken, die nur diese Zeichen enthalten:
[a-z]([-a-z0-9][a-z0-9])?.
. - Jedes Label umfasst 1 bis 63 Zeichen.
- Labels sind mit einem Punkt (.) verkettet.
- Jedes Label passt zu regulären Ausdrücken, die nur diese Zeichen enthalten:
Die maximale codierte Länge des Domainnamens darf 255 Byte (Oktett) nicht überschreiten.
Sie können den Firewallrichtlinien-Regeln auch einen internationalisierten Domainnamen (IDN) hinzufügen.
Domainnamen müssen im Unicode- oder Punycode-Format vorliegen.
Wenn Sie einen IDN im Unicode-Format angeben, wird dieser von der Google Cloud-Firewall vor der Verarbeitung in das Punycode-Format formatiert. Alternativ können Sie das IDN Converter Tool verwenden, um die Punycode-Darstellung von IDN abzurufen.
Die Google Cloud-Firewall unterstützt keine entsprechenden Domainnamen in derselben Firewallrichtlinien-Regel. Wenn die Domainnamen in das Punycode-Format konvertiert wurden und sich beide Domainnamen höchstens durch einen abschließenden Punkt unterscheiden, werden sie als äquivalent betrachtet.
FQDN-Ausnahmeszenarien
Wenn Sie FQDN-Objekte in den Firewallrichtlinien-Regeln verwenden, können bei der DNS-Namensauflösung die folgenden Ausnahmen auftreten:
Fehlerhafter Domainname: Wenn Sie beim Erstellen einer Firewallrichtlinien-Regel einen oder mehrere Domainnamen mit einem ungültigen Format angeben, erhalten Sie eine Fehlermeldung. Die Firewallrichtlinien-Regel kann nur erstellt werden, wenn alle Domainnamen richtig formatiert sind.
Domainname nicht vorhanden (
NXDOMAIN
): Wenn der Domainname nicht vorhanden ist, ignoriert Google Cloud das FQDN-Objekt von der Firewallrichtlinien-Regel.Keine IP-Adressauflösung: Wenn der Domainname nicht in eine IP-Adresse aufgelöst wird, wird das FQDN-Objekt ignoriert.
Cloud DNS-Server nicht erreichbar: Wenn kein DNS-Server erreichbar ist, gelten die Firewallrichtlinien-Regeln, die FQDN-Objekte verwenden, nur dann, wenn die zuvor im Cache gespeicherten Ergebnisse der DNS-Auflösung verfügbar sind. Die FQDN-Objekte der Regel werden ignoriert, wenn keine im Cache gespeicherten DNS-Auflösungsergebnisse vorhanden oder die im Cache gespeicherten DNS-Ergebnisse nicht mehr gültig sind.
Nächste Schritte
- Hierarchische Firewallrichtlinien
- Globale Netzwerk-Firewallrichtlinien
- Regionale Netzwerk-Firewallrichtlinien