Présentation des objets de nom de domaine complet

Les objets de nom de domaine complet (FQDN) vous permettent de définir des règles de pare-feu à l'aide de noms de domaine au lieu d'adresses IP spécifiques. Ce document explique comment les objets de nom de domaine complet sont mappés à des adresses IP et comment ils sont compatibles avec différents services Cloud DNS :

Ce document est destiné aux administrateurs réseau et aux ingénieurs en sécurité qui configurent et gèrent des stratégies de pare-feu.

Pour utiliser des objets de nom de domaine complet, le réseau cloud privé virtuel (VPC) ne peut pas utiliser de règle de serveur sortant avec un serveur de noms alternatif. Pour en savoir plus, consultez Ordre de résolution des réseaux VPC.

Mapper des objets de nom de domaine complet à des adresses IP

Cloud Next Generation Firewall résout régulièrement les objets de nom de domaine complet en adresses IP. Cloud NGFW suit l'ordre de résolution des noms VPC de Cloud DNS dans le réseau VPC qui contient les cibles de la règle de pare-feu.

Cloud NGFW utilise le comportement suivant pour la résolution des adresses IP :

  • Prise en charge de la résolution d'enregistrements CNAME. Cloud NGFW utilise la résolution d'enregistrements CNAME de Cloud DNS CNAME si la réponse à une requête d'objet de nom de domaine complet est un enregistrement CNAME.

  • Programmer des adresses IP. Cloud NGFW utilise les adresses IP résolues lorsqu'il programme les règles de pare-feu qui utilisent des objets de nom de domaine complet. Chaque objet de nom de domaine complet peut être mappé à un maximum de 32 adresses IPv4 et 32 adresses IPv6.

    Si la réponse DNS à une requête d'objet de nom de domaine complet est résolue en plus de 32 adresses IPv4 ou plus de 32 adresses IPv6, Cloud NGFW limite les adresses IP programmées dans les règles de pare-feu aux 32 premières adresses IPv4 et aux 32 premières adresses IPv6.

  • Ignorer les objets de nom de domaine complet. Si Cloud NGFW ne parvient pas à résoudre un objet de nom de domaine complet en adresse IP, il l'ignore. Dans les situations suivantes, Cloud NGFW ignore un objet de nom de domaine complet :

    • Lorsque des réponses NXDOMAIN sont reçues. Les réponses NXDOMAIN sont des réponses explicites d'un serveur de noms indiquant qu'aucun enregistrement DNS pour la requête d'objet de nom de domaine complet n'existe.

    • Lorsqu'aucune adresse IP n'existe dans une réponse. Dans ce cas, une requête d'objet de nom de domaine complet n'aboutit pas à une réponse avec une adresse IP que Cloud NGFW peut utiliser pour programmer une règle de pare-feu.

    • Lorsque le serveur Cloud DNS n'est pas accessible. Cloud NGFW ignore les objets de nom de domaine complet si un serveur DNS qui fournit la réponse n'est pas accessible.

    Lorsqu'un objet de nom de domaine complet est ignoré, Cloud NGFW programme les parties restantes d'une règle de pare-feu, si possible.

Considérations concernant les objets de nom de domaine complet

Tenez compte des points suivants pour les objets de nom de domaine complet :

  • Vous pouvez combiner des noms de domaine complets avec d'autres paramètres. Pour en savoir plus sur les combinaisons de paramètres sources dans les règles d'entrée, consultez Sources pour les règles d'entrée. Pour en savoir plus sur les combinaisons de paramètres de destination dans les règles de sortie, consultez Destinations des règles de sortie.

  • Étant donné que les objets de nom de domaine complet sont mappés et programmés en tant qu'adresses IP, Cloud NGFW utilise le comportement suivant lorsque deux objets de nom de domaine complet ou plus sont mappés à la même adresse IP. Supposons que vous disposez des deux règles de pare-feu suivantes qui s'appliquent à la même cible :

    • Règle 1 : priorité 100, entrée autorisée à partir du nom de domaine complet source example1.com
    • Règle 2 : priorité 200, entrée autorisée à partir du nom de domaine complet source example2.com

    Si example1.com et example2.com sont résolus en la même adresse IP, les paquets d'entrée provenant de example1.com et example2.com correspondent à la première règle de pare-feu, car elle a une priorité plus élevée.

  • Voici quelques considérations à prendre en compte lorsque vous utilisez des objets de nom de domaine complet :

    • Une requête DNS peut avoir des réponses uniques en fonction de l'emplacement du client à l'origine de la requête.

    • Les réponses DNS peuvent être très variables lorsqu'un système d'équilibrage de charge basé sur le DNS est impliqué.

    • Une réponse DNS peut contenir plus de 32 adresses IPv4.

    • Une réponse DNS peut contenir plus de 32 adresses IPv6.

    Dans les situations précédentes, étant donné que Cloud NGFW effectue des requêtes DNS dans chaque région contenant l'interface réseau de la VM à laquelle la règle de pare-feu s'applique, les adresses IP programmées dans les règles de pare-feu ne contiennent pas toutes les adresses IP possibles associées au nom de domaine complet.

    La plupart des noms de domaine Google, tels que googleapis.com, sont soumis à une ou plusieurs de ces situations. Utilisez plutôt des adresses IP ou des groupes d'adresses.

  • Évitez d'utiliser des objets de nom de domaine complet avec des enregistrements A DNS dont la valeur TTL (Time To Live) est inférieure à 90 secondes.

Mettre en forme les noms de domaine

Les objets de nom de domaine complet doivent respecter le format standard. Ce format est défini dans RFC 1035, RFC 1123 et RFC 4343. Cloud NGFW rejette les objets de nom de domaine complet qui incluent un nom de domaine ne respectant pas toutes les règles de mise en forme suivantes :

  • Chaque objet de nom de domaine complet doit être un nom de domaine comportant au moins deux libellés :

    • Chaque libellé doit correspondre à une expression régulière ne comprenant que les caractères suivants : [a-z]([-a-z0-9][a-z0-9])?..
    • Chaque libellé doit comporter entre 1 et 63 caractères.
    • Les libellés doivent être concaténés avec un point (.).

    Par conséquent, les objets de nom de domaine complet ne sont pas compatibles avec les caractères génériques (*) ni les noms de domaine de premier niveau (ou racine), tels que *.example.com. et .org, car ils n'incluent qu'un seul libellé.

  • Les objets de nom de domaine complet sont compatibles avec les noms de domaine internationalisés (IDN). Vous pouvez fournir un IDN au format Unicode ou Punycode. Tenez compte des points suivants :

    • Si vous spécifiez un IDN au format Unicode, Cloud NGFW le convertit au format Punycode avant de le traiter.

    • Vous pouvez utiliser le convertisseur IDN pour créer la représentation Punycode d'un IDN.

    • Le nombre maximal de caractères (1 à 63 par libellé) s'applique aux IDN après conversion au format Punycode.

  • La longueur encodée d'un nom de domaine complet ne peut pas dépasser 255 octets.

Cloud NGFW n'accepte pas les noms de domaine équivalents dans la même règle de pare-feu. Par exemple, si les deux noms de domaine (ou les représentations Punycode des IDN) diffèrent au maximum par un point final (.), Cloud NGFW les considère comme équivalents.

Étape suivante