WatchGuard Feature: FQDN in Firewall Policies

Mit dem Fireware Release 11.10 ist es möglich, FQDN Objekte in Firewall Policies (im From oder To) zu verwenden. Dieses Feature kann dazu genutzt werden, Policies für einzelne Domains zu erstellen und entsprechende Einstellungen nur für diese Domäne anzuwenden. Zudem kann man diese FQDN Objekte in Policies für Updates von Microsoft, AntiViren Programmen oder weiteren CDN Netzwerken nutzen, um zum Beispiel die Bandbreite zu limitieren.

Nebst der Angabe eines einzelnen Hostnamen sind auch Wildcard Einträge erlaubt:

WatchGuard_Feature_FQDN_1

Nicht erlaubt sind beispielsweise folgende Einträge:
*.*.boll.ch, boll*.ch, *.boll.*.ch oder boll.*.ch


Wie funktioniert die FQDN Auflösung

Sobald ein FQDN Objekt in einer Firewall Policy definiert wurde, löst die Firebox den DNS Namen auf und speichert die IP zum zugehörigen FQDN.

Bei Wildcard Objekten löst die Firebox die Adresse boll.ch und www.boll.ch auf und speichert diese beiden Einträge.
Um weitere Subdomains wie zum Beispiel blog.boll.ch aufzulösen, analysiert die Firebox die DNS Replies (A und CNAME records), welche durch die Firebox geschickt werden und speichert diese ab.

Damit die DNS Auflösung funktioniert, muss ein DNS Server auf der Firebox konfiguriert werden. Zudem sollten die Clients und die Firebox die gleichen DNS Server nutzen.
Falls die internen Clients einen internen DNS im gleichen Subnetz nutzen, sieht die Firebox die internen FQDN Objekte nicht und kann diese auch nicht analysieren und abspeichern..

In den Logs sieht man danach, dass die korrekte Policy für HTTP Anfragen genutzt wird. Dabei wird die Domäne angezeigt.

WatchGuard_Feature_FQDN_3

0 Responses to “WatchGuard Feature: FQDN in Firewall Policies”


  • No Comments

Leave a Reply