使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

防火墙政策规则

创建防火墙政策规则时,您需要指定一组定义规则的作用的组件。这些组件指定流量方向、来源、目的地和第 4 层特征,例如协议和目的地端口(如果协议使用端口)。

每条防火墙政策规则都适用于传入(入站流量)或传出(出站流量)连接。

入站流量规则

入站流量方向是指从特定来源发送到 Google Cloud 目标的传入连接。入站流量规则适用于入站数据包,其中数据包的目的地是目标。

操作为 deny 的入站流量规则通过禁止发往所有实例的连接来保护所有实例。入站访问可能会被更高优先级的规则所允许。自动创建的默认网络包含一些预先填充的 VPC 防火墙规则,这些规则允许某些类型的流量入站。

出站流量规则

出站流量方向是指从目标发送到目的地的出站流量。出站流量规则适用于数据包来源为相应目标的新连接的数据包。

具有 allow 操作的出站流量规则允许实例将流量发送到规则中指定的目的地。出站流量可以被更高优先级的 deny 防火墙规则拒绝。Google Cloud 还会阻止或限制特定类型的流量。

防火墙政策规则组件

分层防火墙政策、全球网络防火墙政策和区域级网络防火墙政策中的规则使用本部分中所述的组件。“防火墙政策”这个术语指的是三种类型的政策中的任何一种。如需详细了解防火墙政策的类型,请参阅防火墙政策

防火墙政策规则通常与 VPC 防火墙规则相同,但存在一些差异,如以下部分所述。

优先级

防火墙政策中规则的优先级是 0 到 2,147,483,647(包含 0 和 2,147,483,647)之间的整数。数字越小,优先级越高。防火墙政策中规则的优先级与 VPC 防火墙规则类似,但存在以下区别:

  • 防火墙政策中的每个规则都必须具有唯一的优先级。
  • 防火墙政策中规则的优先级用作规则的唯一标识符。防火墙政策中的规则不使用名称进行标识。
  • 防火墙政策中规则的优先级定义了防火墙政策本身中的评估顺序。VPC 防火墙规则和分层防火墙政策、全球网络防火墙政策和区域级网络防火墙政策中的规则根据政策和规则评估顺序进行评估。

对匹配项执行的操作

防火墙政策中的规则可以执行以下三项操作之一:

  • allow 允许流量,并停止进一步的规则评估。
  • deny 禁止流量,并停止进一步的规则评估。
  • goto_next 会继续执行规则评估过程。

强制执行

您可以通过启用或停用防火墙政策规则来选择是否实施。您可以在创建规则或更新规则时设置实施状态。

如果您在创建新的防火墙规则时未设置实施状态,则防火墙规则会自动为启用。

来源、目的地、目标

您可以指定适用于入站流量和出站流量防火墙规则的数据包来源或目的地的来源参数和目的地参数。防火墙规则的方向决定了来源和目的地参数的可能值。

目标参数标识防火墙规则适用的实例的网络接口。

目标、来源和目的地参数协同工作。

目标

目标参数用于标识 Compute Engine 实例(包括 GKE 节点和 App Engine 柔性环境实例)的网络接口。

您可以为入站流量或出站流量规则定义目标。有效的目标选项取决于防火墙政策的类型。

分层防火墙政策规则的目标

分层防火墙政策规则支持以下目标:

  • 默认最宽泛的目标:如果您在分层防火墙政策规则中省略目标规范,则防火墙规则将应用到与防火墙政策关联的资源管理器节点(文件夹或组织)下所有项目的所有 VPC 网络中的所有实例。这是最大范围的目标集。

  • 特定网络:如果您使用 target-resources 参数指定一个或多个 VPC 网络,则最大范围的目标集仅限于在至少一个指定 VPC 网络中具有网络接口的虚拟机。

  • 由服务帐号标识的实例:如果您使用 target-service-accounts 参数指定一个或多个服务帐号,则最大范围的目标集仅限于使用其中一个指定的服务帐号的虚拟机。

  • 由服务帐号标识的特定网络和实例:如果您同时指定 target-resources 参数和 target-service-accounts 参数,则最大范围的目标集仅限于满足以下两个条件的虚拟机:

    • 虚拟机具有其中一个指定 VPC 网络中的网络接口。
    • 虚拟机使用其中一个指定的服务帐号。

全球网络防火墙政策规则的目标

全球网络防火墙政策规则支持以下目标:

  • 默认目标 - VPC 网络中的所有实例:如果您在全球网络防火墙政策规则中省略目标规范,则防火墙规则适用于在与该政策关联的 VPC 网络中具有网络接口的实例。实例可以位于任何区域中。这是最大范围的目标集。

  • 目标安全标记指代的实例:如果您使用 target-secure-tags 参数指定目标标记,则最大范围的目标集仅限于绑定到这些标记的虚拟机。

  • 目标服务帐号指代的实例:如果您使用 target-service-accounts 参数指定服务帐号,则最大范围的目标集仅限于使用其中一个指定服务帐号的虚拟机。

区域级网络防火墙政策规则的目标

区域网络防火墙政策规则支持以下目标:

  • 默认目标 - 区域和 VPC 网络中的所有实例:如果您在区域网络防火墙政策规则中省略目标规范,则防火墙规则将应用于在与该政策关联的 VPC 网络中具有网络接口的实例。实例必须与该政策位于同一区域。这是最大范围的目标集。

  • 目标安全标记指代的实例:如果您使用 target-secure-tags 参数指定目标标记,则最大范围的目标集仅限于绑定到这些标记的虚拟机。

  • 目标服务帐号指代的实例:如果您使用 target-service-accounts 参数指定服务帐号,则最大范围的目标集仅限于使用其中一个指定服务帐号的虚拟机。

入站规则的目标和 IP 地址

路由到目标虚拟机的网络接口的数据包将根据以下条件进行处理:

  • 如果入站流量防火墙规则包含目的地 IP 地址范围,则数据包的目的地必须在其中一个明确定义的目的地 IP 地址范围内(预览版功能)。

  • 如果入站流量防火墙规则不包含目的地 IP 地址范围,则数据包的目的地必须与以下 IP 地址之一匹配:

    • 分配给实例的 NIC 的主要内部 IPv4 地址。

    • 实例的 NIC 上任何已配置的别名 IP 地址范围

    • 与实例的 NIC 关联的外部 IPv4 地址。

    • 如果在子网上配置 IPv6,则为分配给 NIC 的任何 IPv6 地址。

    • 与用于直通式负载均衡的转发规则关联的内部或外部 IP 地址,其中实例是内部 TCP/UDP 负载均衡器或网络负载均衡器的后端。

    • 与用于协议转发的转发规则关联的内部或外部 IP 地址,其中该实例由目标实例引用。

    • 将实例(next-hop-instancenext-hop-address)用作下一个跃点虚拟机的自定义静态路由的目的地范围内的 IP 地址。

    • 使用内部 TCP/UDP 负载均衡器 (next-hop-ilb) 作为下一个跃点的自定义静态路由的目的地范围内的 IP 地址(如果虚拟机是该负载均衡器的后端)。

出站规则的目标和 IP 地址

从目标的网络接口发出的数据包的处理取决于目标虚拟机上的 IP 转发配置。IP 转发默认处于停用状态。

  • 当目标虚拟机停用 IP 转发时,该虚拟机可以发送具有以下来源的数据包:

    • 实例的 NIC 的主要内部 IPv4 地址。

    • 实例的 NIC 上任何已配置的别名 IP 地址范围。

    • 如果在子网上配置 IPv6,则为分配给 NIC 的任何 IPv6 地址。

    • 与用于直通式负载均衡或协议转发的转发规则相关联的内部或外部 IP 地址。如果实例是内部 TCP/UDP 负载均衡器、网络负载均衡器的后端或由目标实例引用,则此地址是有效的。

    如果出站流量防火墙规则包含来源 IP 地址范围,则目标虚拟机仍然仅限于之前提到的来源 IP 地址,但来源参数可用于优化该集合(预览版功能)。如果在未启用 IP 转发的情况下使用来源参数,则系统不会扩展可能的数据包来源地址集。

    如果出站流量防火墙规则不包含来源 IP 地址范围,则允许之前提到的所有来源 IP 地址。

  • 当目标虚拟机启用 IP 转发时,该虚拟机可以发送具有任意来源地址的数据包。您可以使用来源参数更精确地定义允许的数据包来源集。

来源

源参数值取决于以下因素:

  • 包含防火墙规则的防火墙政策类型
  • 防火墙规则的方向

分层防火墙政策中入站流量规则的来源

您可以对分层防火墙政策中的入站流量规则使用以下来源:

  • 默认来源范围:如果您在入站流量规则中省略来源规范,则 Google Cloud 会使用默认来源 IPv4 地址范围 0.0.0.0/0(任何 IPv4 地址)。默认值不包含 IPv6 来源。

  • 来源 IPv4 地址范围:采用 CIDR 格式的 IPv4 地址列表。

  • 来源 IPv6 地址范围:采用 CIDR 格式的 IPv6 地址列表。

  • 地理位置:一个或多个来源地理位置的列表,指定为两个字母的国家/地区代码以过滤传入的流量。如需了解详情,请参阅地理位置对象

  • 威胁情报列表:一个或多个预定义的威胁情报列表名称的列表。如需了解详情,请参阅防火墙政策规则的威胁情报

  • 来源地址组:由 IPv4 CIDR 或 IPv6 CIDR 组成的一个或多个来源地址组的列表。如需详细了解地址组,请参阅防火墙政策的地址组

  • 来源域名:一个或多个来源域名的列表。如需详细了解域名,请参阅防火墙政策的域名

  • 有效的来源组合:您可以在入站流量规则中指定上述来源的各种组合。有效来源集是这些组合的并集。

    如果您在入站流量规则中指定来源组合,该规则将应用于与至少一个来源参数条件匹配的数据包。

    在为规则定义来源组合时,请遵循以下准则:

    • 请勿在同一条规则中同时使用来源 IPv4 地址范围和来源 IPv6 地址范围。
    • 请勿在同一条规则中将包含 IPv4 CIDR 的来源地址组与包含 IPv6 CIDR 的其他来源地址组搭配使用。
    • 请勿在同一条规则中使用来源 IPv4 地址范围和包含 IPv6 CIDR 的来源地址组。
    • 请勿在同一条规则中使用来源 IPv6 地址范围和包含 IPv4 CIDR 的来源地址组。

网络防火墙政策中入站流量规则的来源

您可以针对全球和区域网络防火墙政策中的入站流量规则使用以下来源:

  • 默认来源范围:如果您在入站流量规则中省略来源规范,则 Google Cloud 会使用默认来源 IPv4 地址范围 0.0.0.0/0(任何 IPv4 地址)。默认值不包含 IPv6 来源。

  • 来源 IPv4 地址范围:采用 CIDR 格式的 IPv4 地址列表。

  • 来源 IPv6 地址范围:采用 CIDR 格式的 IPv6 地址列表。

  • 地理位置:一个或多个来源地理位置的列表,指定为两个字母的国家/地区代码以过滤传入的流量。如需了解详情,请参阅地理位置对象

  • 威胁情报列表:一个或多个预定义的威胁情报列表名称的列表。如需了解详情,请参阅防火墙政策规则的威胁情报

  • 来源地址组:由 IPv4 CIDR 或 IPv6 CIDR 组成的一个或多个来源地址组的列表。如需详细了解地址组,请参阅防火墙政策的地址组

  • 来源域名:一个或多个来源域名的列表。如需详细了解域名,请参阅防火墙政策的域名

  • 来源安全标记:一个或多个安全标记,用于标识应用网络防火墙政策的 VPC 网络或使用 VPC 网络对等互连连接到防火墙政策网络的 VPC 网络中的虚拟机实例的网络接口。此外,如果政策是区域级网络防火墙政策,则虚拟机实例必须与该政策位于同一区域。

  • 有效的来源组合:您可以在入站流量规则中指定上述来源的各种组合。有效来源集是这些组合的并集。

    如果您在入站流量规则中指定来源组合,该规则将应用于与至少一个来源参数条件匹配的数据包。

    在为规则定义来源组合时,请遵循以下准则:

    • 请勿在同一条规则中同时使用来源 IPv4 地址范围和来源 IPv6 地址范围。
    • 请勿在同一条规则中将包含 IPv4 CIDR 的来源地址组与包含 IPv6 CIDR 的其他来源地址组搭配使用。
    • 请勿在同一条规则中使用来源 IPv4 地址范围和包含 IPv6 CIDR 的来源地址组。
    • 请勿在同一条规则中使用来源 IPv6 地址范围和包含 IPv4 CIDR 的来源地址组。

来源安全标记隐含数据包来源的方式

全球和区域网络防火墙政策中的入站流量规则可以使用安全标记指定来源。每个安全标记都与单个 VPC 网络相关联。仅当虚拟机在与安全标记关联的 VPC 网络中具有网络接口时,安全标记才能绑定到虚拟机

具有安全标记的防火墙政策规则按以下方式应用:

  • 全球网络政策中的入站流量规则适用于从绑定到标记的虚拟机的网络接口发出的数据包,其中虚拟机满足以下条件之一:

    • 虚拟机的网络接口使用与防火墙政策相同的 VPC 网络。
    • 虚拟机的网络接口使用通过 VPC 网络对等互连连接到防火墙政策的 VPC 网络的 VPC 网络。
  • 区域网络政策中的入站流量规则适用于从绑定到标记的虚拟机的网络接口发出的数据包,其中与防火墙政策位于同一区域的虚拟机满足以下条件之一:

    • 虚拟机的网络接口使用与防火墙政策相同的 VPC 网络。
    • 虚拟机的网络接口使用通过 VPC 网络对等互连连接到防火墙政策的 VPC 网络的 VPC 网络。

除了指定网络接口之外,系统会解析以下来源 IP 地址:

  • 该网络接口的主要内部 IPv4 地址
  • 分配给该网络接口的任何 IPv6 地址

使用来源安全标记时,系统不会解析其他数据包来源 IP 地址。例如,与网络接口关联的别名 IP 地址范围和外部 IPv4 地址会被排除。如果您需要创建来源包含别名 IP 地址范围或外部 IPv4 地址的入站流量防火墙规则,请使用来源 IPv4 地址范围。

出站流量规则的来源

您可以在分层防火墙政策和网络防火墙政策中针对出站流量规则使用以下来源:

  • 默认 - 由目标决定:如果在出站流量规则中省略来源参数,则数据包来源会隐式定义,如出站流量规则的目标和 IP 地址中所述。

  • 来源 IPv4 地址范围:采用 CIDR 格式的 IPv4 地址列表(预览版功能)。

  • 来源 IPv6 地址范围:采用 CIDR 格式的 IPv6 地址列表(预览版功能)。

目的地

可以使用 IP 地址范围指定目的地,这些范围在分层和网络防火墙政策中均受入站流量和出站流量规则支持。默认目的地行为取决于规则的方向。

入站流量规则的目的地

您可以在分层和网络防火墙政策中针对入站流量防火墙规则使用以下目的地:

  • 默认 - 由目标决定:如果在入站流量规则中省略目的地参数,则数据包目的地将隐式定义,如入站流量规则的目标和 IP 地址中所述。

  • 目的地 IPv4 范围:采用 CIDR 格式的 IPv4 地址列表(预览版功能)。

  • 目的地 IPv6 范围:采用 CIDR 格式的 IPv6 地址列表(预览版功能)。

出站流量规则的目的地

您可以在分层和网络防火墙政策中针对出站流量防火墙规则使用以下目的地:

  • 默认目的地范围:如果在出站流量规则中省略目的地规范,则 Google Cloud 会使用默认目的地 IPv4 地址范围 0.0.0.0/0(任何 IPv4 地址)。默认值不包含 IPv6 目的地。

  • 目的地 IPv4 地址范围:采用 CIDR 格式的 IPv4 地址列表。

  • 目的地 IPv6 地址范围:采用 CIDR 格式的 IPv6 地址列表。

  • 地理位置:一个或多个目标地理位置的列表,指定为两个字母的国家/地区代码以过滤传入的流量。如需了解详情,请参阅地理位置对象

  • 威胁情报列表:一个或多个预定义的威胁情报列表名称的列表。如需了解详情,请参阅防火墙政策规则的威胁情报

  • 目标地址组:包含 IPv4 CIDR 或 IPv6 CIDR 的一个或多个目标地址组的列表。如需详细了解地址组,请参阅防火墙政策的地址组

  • 目标域名:一个或多个目标域名的列表。如需详细了解域名,请参阅防火墙政策的域名

  • 有效的目标组合:您可以在入站流量规则中指定上述目标的各种组合。有效目标集是这些组合的并集。

    在出站流量规则中指定目标组合时,该规则将应用于与至少一个目标参数条件匹配的数据包。

    为规则定义目标组合时,请遵循以下准则:

    • 请勿在同一条规则中同时使用目标 IPv4 地址范围和目标 IPv6 地址范围。
    • 请勿在同一条规则中将包含 IPv4 CIDR 的目标地址组与包含 IPv6 CIDR 的其他目标地址组搭配使用。
    • 请勿在同一条规则中使用目标 IPv4 地址范围和包含 IPv6 CIDR 的目标地址组。
    • 请勿在同一条规则中使用目标 IPv6 地址范围和包含 IPv4 CIDR 的目标地址组。

协议和端口

与 VPC 防火墙规则类似,您必须在创建规则时指定一个或多个协议和端口限制条件。在规则中指定 TCP 或 UDP 时,您可以指定协议、协议和一个目的地端口或协议和端口范围;不能仅指定端口或目的地端口范围。您只能指定目的地端口。系统不支持基于来源端口的规则。

您可以在防火墙规则中使用以下协议名称:tcpudpicmp(适用于 IPv4 ICMP)、espahsctpipip。对于所有其他协议,请使用 IANA 协议编号

许多协议在 IPv4 和 IPv6 中使用相同的名称和编号,但某些协议(如 ICMP)并非如此。 如需指定 IPv4 ICMP,请使用 icmp 或协议编号 1。对于 IPv6 ICMP,请使用协议编号 58

防火墙规则不支持指定 ICMP 类型和代码,只支持指定协议。

防火墙规则不支持 IPv6 逐跳协议。

如果未指定协议和端口参数,则规则适用于所有协议和目的地端口。

日志记录

防火墙政策规则的日志记录与 VPC 防火墙规则日志记录相同,但以下方面除外:

  • 引用字段包含防火墙政策 ID 和一个数字,该数字表明政策关联的节点的级层。例如,0 表示政策应用于组织,1 表示政策应用于组织下的顶层文件夹。

  • 防火墙政策规则的日志包含一个 target_resource 字段,用于标识规则要应用到的 VPC 网络。

  • 只能为 allowdeny 规则启用日志记录;不能为 goto_next 规则启用。

地理位置对象

在防火墙政策规则中使用地理位置对象,以根据特定的地理位置或区域过滤外部 IPv4 和外部 IPv6 流量。

您可以将具有地理位置对象的规则应用于入站流量和出站流量。根据流量方向,与国家/地区代码关联的 IP 地址会与流量来源或目的地进行匹配。

  • 您可以为以下政策配置地理位置对象:分层防火墙政策全球网络防火墙政策区域级网络防火墙政策

  • 如需向防火墙政策规则添加地理位置,请使用 ISO 3166 alpha-2 国家/地区代码中定义的由两个字母组成的国家/地区代码。

    例如,如果您只想允许从美国传入网络的流量,请创建入站流量防火墙政策规则,并将来源国家/地区代码设置为 US,将操作设置为 allow。同样,如果您只想仅允许流向美国的出站流量,请配置出站流量防火墙政策规则,并将目的地国家/地区代码设置为 US,将操作设置为 allow

  • 如果单一防火墙规则中包含任何重复的国家/地区代码,则仅保留该国家/地区代码的一个条目。重复条目会被移除。例如,在国家/地区代码列表 ca,us,us 中,仅保留 ca,us

  • Google 维护着一个具有 IP 地址和国家/地区代码映射的数据库。Google Cloud 防火墙使用此数据库将来源流量和目的地流量的 IP 地址映射到国家/地区代码,然后应用带有地理位置对象的匹配防火墙政策规则。

  • 有时,IP 地址分配和国家/地区代码会因以下条件而变化:

    由于这些更改需要一段时间才能反映在 Google 的数据库中,因此某些流量可能会中断,并且某些流量的行为会被屏蔽或允许。

将地理位置对象与其他防火墙政策规则过滤条件结合使用

您可以使用地理位置对象以及其他来源或目标过滤条件。根据规则方向,防火墙政策规则应用于与所有指定过滤条件并集匹配的传入或传出流量。

如需了解地理位置对象如何与入站流量规则中的其他来源过滤条件搭配使用,请参阅分层防火墙政策中的入站流量规则的来源网络防火墙政策中的入站流量规则的来源

如需了解地理位置对象如何与出站流量规则中的其他目标过滤条件搭配使用,请参阅出站流量规则的目的地

防火墙政策规则的威胁情报

防火墙政策规则允许您根据威胁情报数据允许或阻止流量,从而保护您的网络。威胁情报数据包括基于以下类别的 IP 地址列表:

  • Tor 退出节点Tor 是一种开源软件,可实现匿名通信。如需排除隐藏其身份的用户,请阻止 Tor 退出节点(流量离开 Tor 网络的端点)的 IP 地址。
  • 已知恶意 IP 地址:已知为 Web 应用攻击的来源的 IP 地址。为了改善应用的安全状况,请屏蔽这些 IP 地址。
  • 搜索引擎:您可以允许以启用网站索引的 IP 地址。
  • 公有云 IP 地址范围:您可以阻止此类别以免恶意自动化工具浏览 Web 应用;或者,如果您的服务使用其他公有云,则您可以允许此类别。此类别进一步分为以下子类别:
    • Amazon Web Services 使用的 IP 地址范围
    • Microsoft Azure 使用的 IP 地址范围
    • Google Cloud 使用的 IP 地址范围

威胁情报数据列表可以包含 IPv4 地址和/或 IPv6 地址。如需在防火墙政策规则中配置威胁情报,请根据您要允许或阻止的类别来使用预定义的威胁情报列表名称。这些列表会持续更新,从而保护服务免受新威胁的影响,而无需执行额外的配置步骤。有效的列表名称如下。

列表名称 说明
iplist-tor-exit-nodes 匹配 TOR 退出节点的 IP 地址
iplist-known-malicious-ips 匹配已知用于攻击 Web 应用的 IP 地址
iplist-search-engine-crawlers 匹配搜索引擎抓取工具的 IP 地址
iplist-public-clouds
  • iplist-public-clouds-aws
  • iplist-public-clouds-azure
  • iplist-public-clouds-gcp
匹配属于公有云的 IP 地址
  • 匹配 Amazon Web Services 使用的 IP 地址范围
  • 匹配 Microsoft Azure 使用的 IP 地址范围
  • 匹配 Google Cloud 使用的 IP 地址范围

将威胁情报与其他防火墙政策规则过滤条件搭配使用

要使用威胁情报定义防火墙政策规则,请遵循以下准则:

创建威胁情报列表的例外情况

如果您的规则适用于威胁情报列表,则可以使用以下方法创建适用于威胁威胁列表中的某些 IP 地址的例外规则:

  • 选择性允许列表:假设您有入站流量或出站流量防火墙规则,该规则拒绝来自或发送到威胁情报列表的数据包。如需允许进出该威胁情报列表中所选 IP 地址的数据包,请创建单独的优先级较高的入站流量或出站流量允许防火墙规则,用于将例外 IP 地址指定为来源或目的地。

  • 选择性拒绝列表:假设您有入站流量或出站流量防火墙规则,该规则允许来自或发送到威胁情报列表的数据包。如需拒绝进出该威胁情报列表中所选 IP 地址的数据包,请创建优先级较高的入站流量或出站流量拒绝防火墙规则,用于将例外 IP 地址指定为来源或目的地。

防火墙政策的地址组

地址组是 CIDR 格式的 IPv4 地址范围或 IPv6 地址范围的逻辑集合。您可以使用地址组来定义许多防火墙规则引用的一致来源或目的地。地址组可以更新,而无需修改使用它们的防火墙规则。如需详细了解地址组,请参阅防火墙政策的地址组

您可以分别为入站流量和出站流量防火墙规则定义来源和目标地址组。

如需了解来源地址组如何与入站流量规则中的其他来源过滤条件搭配使用,请参阅分层防火墙政策中的入站流量规则的来源网络防火墙政策中的入站流量规则的来源

如需了解目标地址组如何与出站流量规则中的其他目标过滤条件搭配使用,请参阅出站流量规则的目的地

FQDN 对象

在防火墙政策规则中使用完全限定域名 (FQDN) 对象,以过滤来自特定域名的传入或传出流量。

您可以将具有 FQDN 对象的防火墙政策规则应用于入站流量和出站流量。根据流量方向,与域名关联的 IPv4 地址会与流量来源或目的地进行匹配。

  • 您可以为分层防火墙政策全球网络防火墙政策区域级网络防火墙政策配置 FQDN 对象。

  • 如需向防火墙政策规则添加 FQDN 对象,您必须以标准 FQDN 语法指定一个或多个域名。如需详细了解域名格式,请参阅域名格式

  • 防火墙政策规则中指定的域名会根据 Cloud DNSVPC 名称解析顺序解析为 IPv4 地址。如果域名解析结果发生任何更改,Cloud DNS 会通知 Google Cloud 防火墙。然后,Google Cloud 防火墙会使用最新的名称解析结果更新防火墙政策。域名更新按 30 秒的间隔执行。

  • 域名最多可以解析为 32 个 IPv4 地址。解析为超过 32 个 IPv4 地址的 DNS 查询会被截断,以便仅包含这些已解析的 IPv4 地址中的 32 个。因此,请勿在防火墙政策规则中包含解析为超过 32 个 IP 地址的域名。

  • 防火墙政策规则的 FQDN 对象会忽略域名解析结果中的 IPv6 地址。

  • FQDN 对象不支持通配符 (*) 和顶级(根)域名。例如,*.example.com..org 不受支持。

  • 某些域名查询根据请求客户端的位置提供唯一的答案。执行防火墙规则 DNS 解析的位置是包含防火墙规则适用的虚拟机的 Google Cloud 区域。

  • 您还可以在网络防火墙政策规则中使用 Compute Engine 内部 DNS 名称。不过,请确保您的网络未配置为使用出站服务器政策中的备用域名服务器。

  • 如果您要在网络防火墙政策规则中添加自定义域名,则可以使用 Cloud DNS 代管式区域进行域名解析。不过,请确保您的网络未配置为使用出站服务器政策中的备用域名服务器。如需详细了解区域管理,请参阅 Cloud DNS 代管式区域

  • FQDN 对象会将 DNS 名称转换为 IPv4 地址,并且这些 IPv4 地址会在防火墙规则中进行编排。如果两个域名解析为同一 IPv4 地址,则防火墙规则适用于该 IPv4 地址,而不仅仅是一个网域。换句话说,防火墙规则是第 3 层或第 4 层实体。

  • 如果您最近迁移了虚拟机或重启了虚拟机,使用 FQDN 对象的防火墙规则最长可能需要 30 秒才能应用于该虚拟机。

  • 如果域名解析结果是高度可变的或域名解析使用基于 DNS 的负载均衡形式,请不要将入站流量规则与 FQDN 对象搭配使用。例如,许多 Google 域名使用基于 DNS 的负载均衡方案。

将 FQDN 对象与其他防火墙政策规则过滤条件搭配使用

在防火墙政策规则中,您可以定义 FQDN 对象以及其他来源或目标过滤条件。

如需了解 FQDN 对象如何与入站流量规则中的其他来源过滤条件搭配使用,请参阅分层防火墙政策中的入站流量规则的来源网络防火墙政策中的入站流量规则的来源

如需了解 FQDN 对象如何与出站流量规则中的其他目标过滤条件搭配使用,请参阅出站流量规则的目的地

域名格式

VPC 防火墙支持 RFC 1035RFC 1123RFC 4343 中定义的域名格式。

要将域名添加到防火墙政策规则,请遵循以下格式设置准则:

  • 域名必须至少包含两个标签,如下所示:

    • 每个标签包含仅包含以下字符的正则表达式:[a-z]([-a-z0-9]*[a-z0-9])?.
    • 每个标签的长度为 1-63 个字符。
    • 标签使用点 (.) 串联。
  • 域名的最大编码长度不得超过 255 个字节(八位字节)。

  • 您还可以向防火墙政策规则添加国际化域名 (IDN)

  • 域名必须采用 Unicode 或 Punycode 格式。

  • 如果您以 Unicode 格式指定 IDN,Google Cloud 防火墙会在处理之前将其转换为 Punycode 格式。或者,您可以使用 IDN 转换器工具获取 IDN 的 Punycode 表示法。

  • Google Cloud 防火墙不支持同一防火墙政策规则中的等效域名。将域名转换为 Punycode 后,如果两个域名最多相差一个尾随点,则系统会将它们视为等效域名。

FQDN 异常场景

在防火墙政策规则中使用 FQDN 对象时,您可能会在 DNS 名称解析期间遇到以下异常:

  • 域名错误:如果您在创建防火墙规则时指定了一个或多个使用无效格式的域名,则会收到错误消息。 除非所有域名格式均正确,否则无法创建防火墙规则。

  • 域名不存在 (NXDOMAIN):如果域名不存在,Google Cloud 会从防火墙规则中排除 FQDN 对象。

  • 无 IPv4 地址解析:如果域名未解析为任何 IPv4 地址,则 FQDN 对象会被忽略。

  • Cloud DNS 服务器无法访问:如果 DNS 服务器无法访问,则只有先前缓存的 IPv4 DNS 解析结果可用时,具有 FQDN 对象的防火墙规则才适用。如果没有缓存的 IPv4 DNS 解析结果或缓存的 DNS 结果已过期,则系统会忽略规则的 FQDN 对象。

在短时间内,对于指定的域名,虚拟机和 Google Cloud 防火墙可能会有不一致的解析结果。在此期间,Google Cloud 防火墙会根据可用的解析数据过滤流量。

后续步骤