Les objets de nom de domaine complet (FQDN) contiennent les noms de domaine que vous spécifiez au format de nom de domaine. Vous pouvez utiliser des objets de nom de domaine complet comme sources pour les règles d'entrée ou comme destinations pour les règles de sortie dans une stratégie de pare-feu hiérarchique, une stratégie de pare-feu réseau globale ou une stratégie de pare-feu réseau régionale.
Vous pouvez combiner les FQDN avec d'autres paramètres. Pour en savoir plus sur les combinaisons de paramètres sources dans les règles d'entrée, consultez Sources pour les règles d'entrée. Pour en savoir plus sur les combinaisons de paramètres de destination dans les règles de sortie, consultez Destinations pour les règles de sortie.
Les objets FQDN sont compatibles avec les règles de réponse Cloud DNS, les zones privées gérées à portée de réseau VPC, les noms DNS internes Compute Engine et les zones DNS publiques. Cette compatibilité s'applique tant que le réseau cloud privé virtuel (VPC) ne comporte pas de règle de serveur sortant spécifiant un serveur de noms alternatif. Pour en savoir plus, consultez Ordre de résolution des réseaux VPC.
Mapper des objets de nom de domaine complet à des adresses IP
Cloud Next Generation Firewall résout régulièrement les objets FQDN en adresses IP. Cloud NGFW suit l'ordre de résolution de noms VPC de Cloud DNS dans le réseau VPC contenant les cibles de la règle de pare-feu.
Cloud NGFW utilise le comportement suivant pour la résolution des adresses IP :
Prise en charge de la résolution d'enregistrements CNAME : Cloud NGFW utilise la résolution d'enregistrements CNAME Cloud DNS si la réponse à une requête d'objet FQDN est un enregistrement CNAME.
Adresses IP du programme Cloud NGFW utilise les adresses IP résolues lorsqu'il programme les règles de pare-feu qui utilisent des objets de nom de domaine complet. Chaque objet FQDN peut être mappé à un maximum de 32 adresses IPv4 et 32 adresses IPv6.
Si la réponse DNS à une requête d'objet de nom de domaine complet résout plus de 32 adresses IPv4 ou plus de 32 adresses IPv6, Cloud NGFW limite les adresses IP programmées dans les règles de pare-feu aux 32 premières adresses IPv4 et aux 32 premières adresses IPv6.
Ignorer les objets de nom de domaine complet Si Cloud NGFW ne parvient pas à résoudre un objet de nom de domaine complet en adresse IP, il l'ignore. Dans les situations suivantes, Cloud NGFW ignore un objet de nom de domaine complet :
Lorsque
NXDOMAINréponses sont reçues. Les réponsesNXDOMAINsont des réponses explicites d'un serveur de noms indiquant qu'aucun enregistrement DNS pour la requête d'objet de nom de domaine complet n'existe.Lorsqu'aucune adresse IP n'existe dans une réponse. Dans ce cas, une requête d'objet de nom de domaine complet ne génère pas de réponse avec une adresse IP que Cloud NGFW peut utiliser pour programmer une règle de pare-feu.
Lorsque le serveur Cloud DNS est inaccessible. Cloud NGFW ignore les objets de nom de domaine complet si un serveur DNS qui fournit la réponse est inaccessible.
Lorsqu'un objet de nom de domaine complet est ignoré, Cloud NGFW programme les parties restantes d'une règle de pare-feu, si possible.
Éléments à prendre en compte pour les objets FQDN
Tenez compte des points suivants pour les objets de nom de domaine complet :
Étant donné que les objets FQDN sont mappés et programmés en tant qu'adresses IP, Cloud NGFW se comporte comme suit lorsque deux objets FQDN ou plus sont mappés sur la même adresse IP. Supposons que vous disposiez des deux règles de pare-feu suivantes qui s'appliquent à la même cible :
- Règle 1 : priorité
100, trafic entrant autorisé depuis le nom de domaine complet sourceexample1.com - Règle 2 : priorité
200, trafic entrant autorisé depuis le nom de domaine complet sourceexample2.com
Si
example1.cometexample2.comsont résolues en la même adresse IP, les paquets entrants deexample1.cometexample2.comcorrespondent à la première règle de pare-feu, car cette règle a une priorité plus élevée.- Règle 1 : priorité
Voici quelques points à prendre en compte lorsque vous utilisez des objets de nom de domaine complet :
Une requête DNS peut présenter des réponses uniques en fonction de l'emplacement du client à l'origine de la requête.
Les réponses DNS peuvent être très variables lorsqu'un système d'équilibrage de charge basé sur DNS est impliqué.
Une réponse DNS peut contenir plus de 32 adresses IPv4.
Une réponse DNS peut contenir plus de 32 adresses IPv6.
Dans les situations précédentes, étant donné que Cloud NGFW effectue des requêtes DNS dans chaque région contenant l'interface réseau de la VM à laquelle la règle de pare-feu s'applique, les adresses IP programmées dans les règles de pare-feu ne contiennent pas toutes les adresses IP possibles associées au nom de domaine complet.
La plupart des noms de domaine Google, tels que
googleapis.com, sont soumis à une ou plusieurs de ces situations. Utilisez plutôt des adresses IP ou des groupes d'adresses.Évitez d'utiliser des objets de nom de domaine complet avec des enregistrements
ADNS dont la valeur TTL (Time To Live) est inférieure à 90 secondes.
Mettre en forme les noms de domaine
Les objets de nom de domaine complet doivent respecter le format de nom de domaine complet standard. Ce format est défini dans les normes RFC 1035, RFC 1123 et RFC 4343. Cloud NGFW rejette les objets FQDN qui incluent un nom de domaine ne respectant pas toutes les règles de mise en forme suivantes :
Chaque objet FQDN doit être un nom de domaine comportant au moins deux libellés :
- Chaque libellé doit correspondre à une expression régulière ne comprenant que les caractères suivants :
[a-z]([-a-z0-9][a-z0-9])?.. - Chaque libellé doit comporter entre 1 et 63 caractères.
- Les libellés doivent être concaténés avec un point (.).
Par conséquent, les objets de nom de domaine complet ne sont pas compatibles avec les caractères génériques (
*) ni les noms de domaine de premier niveau (ou racine), tels que*.example.com.et.org, car ils ne comportent qu'un seul libellé.- Chaque libellé doit correspondre à une expression régulière ne comprenant que les caractères suivants :
Les objets de nom de domaine complet sont compatibles avec les noms de domaine internationalisés (IDN). Vous pouvez fournir un IDN au format Unicode ou Punycode. Tenez compte des points suivants :
Si vous spécifiez un IDN au format Unicode, Cloud NGFW le convertit au format Punycode avant de le traiter.
Vous pouvez utiliser le convertisseur IDN pour créer la représentation Punycode d'un IDN.
Le nombre maximal de caractères (1 à 63 par libellé) s'applique aux IDN après conversion au format Punycode.
La longueur encodée d'un nom de domaine complet (FQDN) ne peut pas dépasser 255 octets.
Cloud NGFW n'accepte pas les noms de domaine équivalents dans la même règle de pare-feu. Par exemple, si les deux noms de domaine (ou représentations Punycode des IDN) diffèrent au maximum par un point final (.), Cloud NGFW les considère comme équivalents.