Objek nama domain yang sepenuhnya memenuhi syarat (FQDN) berisi nama domain yang Anda tentukan dalam format nama domain. Anda dapat menggunakan objek FQDN sebagai sumber untuk aturan ingress atau sebagai tujuan untuk aturan egress dalam kebijakan firewall hierarkis, kebijakan firewall jaringan global, atau kebijakan firewall jaringan regional.
Anda dapat menggabungkan FQDN dengan parameter lain. Untuk mengetahui detail tentang kombinasi parameter sumber dalam aturan ingress, lihat Sumber untuk aturan ingress. Untuk mengetahui detail tentang kombinasi parameter tujuan dalam aturan egress, lihat Tujuan untuk aturan egress.
Objek FQDN mendukung kebijakan respons Cloud DNS, zona pribadi terkelola yang tercakup dalam jaringan VPC, nama DNS internal Compute Engine, dan zona DNS publik. Dukungan ini berlaku selama jaringan Virtual Private Cloud (VPC) tidak memiliki kebijakan server keluar yang menentukan server nama alternatif. Untuk mengetahui informasi selengkapnya, lihat Urutan penyelesaian jaringan VPC.
Memetakan objek FQDN ke alamat IP
Cloud Next Generation Firewall secara berkala menyelesaikan objek FQDN ke alamat IP. Cloud NGFW mengikuti urutan resolusi nama VPC Cloud DNS di jaringan VPC yang berisi target aturan firewall.
Cloud NGFW menggunakan perilaku berikut untuk resolusi alamat IP:
Mendukung pencarian CNAME. Cloud NGFW menggunakan CNAME chasing Cloud DNS jika jawaban untuk kueri objek FQDN adalah data CNAME.
Alamat IP program. Cloud NGFW menggunakan alamat IP yang di-resolve saat memprogram aturan firewall yang menggunakan objek FQDN. Setiap objek FQDN dapat dipetakan ke maksimum 32 alamat IPv4 dan 32 alamat IPv6.
Jika jawaban DNS untuk kueri objek FQDN di-resolve ke lebih dari 32 alamat IPv4 atau lebih dari 32 alamat IPv6, Cloud NGFW akan membatasi alamat IP yang diprogram dalam aturan firewall ke 32 alamat IPv4 pertama dan 32 alamat IPv6 pertama.
Mengabaikan objek FQDN. Jika Cloud NGFW tidak dapat me-resolve objek FQDN ke alamat IP, Cloud NGFW akan mengabaikan objek FQDN tersebut. Dalam situasi berikut, Cloud NGFW mengabaikan objek FQDN:
Saat
NXDOMAINjawaban diterima. JawabanNXDOMAINadalah jawaban eksplisit dari server nama yang menunjukkan bahwa tidak ada data DNS untuk kueri objek FQDN.Jika tidak ada alamat IP dalam jawaban. Dalam situasi ini, kueri objek FQDN tidak menghasilkan jawaban dengan alamat IP yang dapat digunakan Cloud NGFW untuk memprogram aturan firewall.
Saat server Cloud DNS tidak dapat dijangkau. Cloud NGFW mengabaikan objek FQDN jika server DNS yang memberikan jawaban tidak dapat dijangkau.
Jika objek FQDN diabaikan, Cloud NGFW akan memprogram bagian aturan firewall yang tersisa, jika memungkinkan.
Pertimbangan untuk objek FQDN
Pertimbangkan hal berikut untuk objek FQDN:
Karena objek FQDN dipetakan ke dan diprogram sebagai alamat IP, Cloud NGFW menggunakan perilaku berikut saat dua atau lebih objek FQDN dipetakan ke alamat IP yang sama. Misalkan Anda memiliki dua aturan firewall berikut yang berlaku untuk target yang sama:
- Aturan 1: prioritas
100, izinkan ingress dari FQDN sumberexample1.com - Aturan 2: prioritas
200, izinkan ingress dari FQDN sumberexample2.com
Jika
example1.comdanexample2.comdi-resolve ke alamat IP yang sama, paket masuk dariexample1.comdanexample2.comcocok dengan aturan firewall pertama karena aturan ini memiliki prioritas yang lebih tinggi.- Aturan 1: prioritas
Pertimbangan untuk menggunakan objek FQDN mencakup hal berikut:
Kueri DNS dapat memiliki jawaban unik berdasarkan lokasi klien yang membuat permintaan.
Respons DNS dapat sangat bervariasi jika sistem load balancing berbasis DNS terlibat.
Jawaban DNS mungkin berisi lebih dari 32 alamat IPv4.
Jawaban DNS dapat berisi lebih dari 32 alamat IPv6.
Dalam situasi sebelumnya, karena Cloud NGFW melakukan kueri DNS di setiap region yang berisi antarmuka jaringan VM yang aturan firewallnya berlaku, alamat IP yang diprogram dalam aturan firewall tidak berisi semua alamat IP yang mungkin terkait dengan FQDN.
Sebagian besar nama domain Google, seperti
googleapis.com, tunduk pada satu atau beberapa situasi ini. Sebagai gantinya, gunakan alamat IP atau grup alamat.Hindari penggunaan objek FQDN dengan data
ADNS yang memiliki time to live (TTL) kurang dari 90 detik.
Memformat nama domain
Objek FQDN harus mengikuti format FQDN standar. Format ini ditentukan dalam RFC 1035, RFC 1123, dan RFC 4343. Cloud NGFW menolak objek FQDN yang menyertakan nama domain yang tidak memenuhi semua aturan pemformatan berikut:
Setiap objek FQDN harus berupa nama domain dengan minimal dua label:
- Setiap label harus cocok dengan ekspresi reguler yang hanya menyertakan karakter berikut:
[a-z]([-a-z0-9][a-z0-9])?.. - Setiap label harus memiliki panjang 1-63 karakter.
- Label harus digabungkan dengan titik (.).
Oleh karena itu, objek FQDN tidak mendukung karakter pengganti (
*) atau nama domain tingkat teratas (atau root), seperti*.example.com.dan.org, karena hanya menyertakan satu label.- Setiap label harus cocok dengan ekspresi reguler yang hanya menyertakan karakter berikut:
Objek FQDN mendukung Nama Domain Internasional (IDN). Anda dapat memberikan IDN dalam format Unicode atau Punycode. Pertimbangkan hal berikut:
Jika Anda menentukan IDN dalam format Unicode, Cloud NGFW akan mengonversinya ke format Punycode sebelum diproses.
Anda dapat menggunakan pengonversi IDN untuk membuat representasi Punycode dari IDN.
Batas karakter 1-63 per label berlaku untuk IDN setelah konversi ke format Punycode.
Panjang yang dienkode dari nama domain yang sepenuhnya memenuhi syarat (FQDN) tidak boleh melebihi 255 byte (oktet).
Cloud NGFW tidak mendukung nama domain yang setara dalam aturan firewall yang sama. Misalnya, jika dua nama domain (atau representasi Punycode dari IDN) berbeda paling banyak
dengan titik terminal (.), Cloud NGFW menganggapnya setara.