Gli oggetti nome di dominio completo (FQDN) contengono i nomi di dominio che specifichi nel formato del nome di dominio. Puoi utilizzare gli oggetti FQDN come origini per le regole in entrata o come destinazioni per le regole in uscita in un criterio firewall gerarchico, in un criterio firewall di rete globale o in un criterio firewall di rete regionale.
Puoi combinare i nomi di dominio completi con altri parametri. Per informazioni dettagliate sulle combinazioni di parametri di origine nelle regole in entrata, consulta Origini per le regole in entrata. Per informazioni dettagliate sulle combinazioni di parametri di destinazione nelle regole in uscita, consulta Destinazioni per le regole in uscita.
Gli oggetti FQDN supportano le policy di risposta Cloud DNS, le zone private gestite con ambito di rete VPC, i nomi DNS interni di Compute Engine e le zone DNS pubbliche. Questo supporto si applica a condizione che la rete Virtual Private Cloud (VPC) non abbia una policy dei server in uscita che specifichi un server dei nomi alternativo. Per saperne di più, consulta Ordine di risoluzione della rete VPC.
Mappare gli oggetti FQDN agli indirizzi IP
Cloud Next Generation Firewall risolve periodicamente gli oggetti FQDN in indirizzi IP. Cloud NGFW segue l'ordine di risoluzione dei nomi VPC di Cloud DNS nella rete VPC che contiene i target della regola firewall.
Cloud NGFW utilizza il seguente comportamento per la risoluzione degli indirizzi IP:
Supporta la ricerca del CNAME. Cloud NGFW utilizza la ricerca del CNAME di Cloud DNS se la risposta a una query di un oggetto FQDN è un record CNAME.
Indirizzi IP del programma. Cloud NGFW utilizza gli indirizzi IP risolti quando programma le regole del firewall che utilizzano oggetti FQDN. Ogni oggetto FQDN può essere mappato a un massimo di 32 indirizzi IPv4 e 32 indirizzi IPv6.
Se la risposta DNS a una query di un oggetto FQDN si risolve in più di 32 indirizzi IPv4 o più di 32 indirizzi IPv6, Cloud NGFW limita gli indirizzi IP programmati nelle regole firewall ai primi 32 indirizzi IPv4 e ai primi 32 indirizzi IPv6.
Ignora oggetti FQDN. Se Cloud NGFW non riesce a risolvere un oggetto FQDN in un indirizzo IP, lo ignora. Nelle seguenti situazioni, Cloud NGFW ignora un oggetto FQDN:
Quando vengono ricevute
NXDOMAINrisposte. Le risposteNXDOMAINsono risposte esplicite di un server dei nomi che indicano che non esiste alcun record DNS per la query dell'oggetto FQDN.Quando in una risposta non è presente alcun indirizzo IP. In questa situazione, una query di oggetti FQDN non restituisce una risposta con un indirizzo IP che Cloud NGFW può utilizzare per programmare una regola firewall.
Quando il server Cloud DNS non è raggiungibile. Cloud NGFW ignora gli oggetti FQDN se un server DNS che fornisce la risposta non è raggiungibile.
Quando un oggetto FQDN viene ignorato, Cloud NGFW programma le parti rimanenti di una regola firewall, se possibile.
Considerazioni sugli oggetti FQDN
Considera quanto segue per gli oggetti FQDN:
Poiché gli oggetti FQDN vengono mappati e programmati come indirizzi IP, Cloud NGFW utilizza il seguente comportamento quando due o più oggetti FQDN vengono mappati allo stesso indirizzo IP. Supponiamo di avere le seguenti due regole firewall che si applicano allo stesso target:
- Regola 1: priorità
100, ingresso consentito dal nome di dominio completo di origineexample1.com - Regola 2: priorità
200, ingresso consentito dall'FQDN di origineexample2.com
Se sia
example1.comcheexample2.comvengono risolti nello stesso indirizzo IP, i pacchetti in entrata sia daexample1.comche daexample2.comcorrispondono alla prima regola firewall perché questa regola ha una priorità più alta.- Regola 1: priorità
Di seguito sono riportate alcune considerazioni sull'utilizzo degli oggetti FQDN:
Una query DNS può avere risposte uniche in base alla posizione del client richiedente.
Le risposte DNS possono variare notevolmente quando è coinvolto un sistema di bilanciamento del carico basato su DNS.
Una risposta DNS potrebbe contenere più di 32 indirizzi IPv4.
Una risposta DNS potrebbe contenere più di 32 indirizzi IPv6.
Nelle situazioni precedenti, poiché Cloud NGFW esegue query DNS in ogni regione che contiene l'interfaccia di rete VM a cui si applica la regola firewall, gli indirizzi IP programmati nelle regole firewall non contengono tutti gli indirizzi IP possibili associati all'FQDN.
La maggior parte dei nomi di dominio Google, come
googleapis.com, è soggetta a una o più di queste situazioni. Utilizza indirizzi IP o gruppi di indirizzi.Evita di utilizzare oggetti FQDN con record DNS
Ache hanno una durata (TTL) inferiore a 90 secondi.
Formattare i nomi di dominio
Gli oggetti FQDN devono rispettare il formato FQDN standard. Questo formato è definito in RFC 1035, RFC 1123 e RFC 4343. Cloud NGFW rifiuta gli oggetti FQDN che includono un nome di dominio che non soddisfa tutte le seguenti regole di formattazione:
Ogni oggetto FQDN deve essere un nome di dominio con almeno due etichette:
- Ogni etichetta deve corrispondere a un'espressione regolare che include solo questi
caratteri:
[a-z]([-a-z0-9][a-z0-9])?.. - Ogni etichetta deve avere una lunghezza compresa tra 1 e 63 caratteri.
- Le etichette devono essere concatenate con un punto (.).
Di conseguenza, gli oggetti FQDN non supportano caratteri jolly (
*) o nomi di dominio di primo livello (o radice), come*.example.com.e.org, perché includono una sola etichetta.- Ogni etichetta deve corrispondere a un'espressione regolare che include solo questi
caratteri:
Gli oggetti FQDN supportano i nomi di dominio internazionalizzati (IDN). Puoi fornire un IDN in formato Unicode o Punycode. Considera quanto segue:
Se specifichi un IDN in formato Unicode, Cloud NGFW lo converte in formato Punycode prima dell'elaborazione.
Puoi utilizzare il convertitore IDN per creare la rappresentazione Punycode di un IDN.
Il limite di caratteri di 1-63 per etichetta si applica agli IDN dopo la conversione nel formato Punycode.
La lunghezza codificata di un nome di dominio completo (FQDN) non può superare i 255 byte (ottetti).
Cloud NGFW non supporta nomi di dominio equivalenti nella stessa regola firewall. Ad esempio, se i due nomi di dominio (o le rappresentazioni Punycode degli IDN) differiscono al massimo
per un punto finale (.), Cloud NGFW li considera equivalenti.