完全修飾ドメイン名オブジェクトの概要

完全修飾ドメイン名(FQDN)オブジェクトを使用すると、特定の IP アドレスではなくドメイン名を使用してファイアウォール ルールを定義できます。 このドキュメントでは、FQDN オブジェクトが IP アドレスにマッピングされ、さまざまな Cloud DNS サービスをサポートする方法について説明します。

このドキュメントは、ファイアウォール ポリシーを構成して管理するネットワーク管理者とセキュリティ エンジニアを対象としています。

FQDN オブジェクトを使用するには、Virtual Private Cloud(VPC)ネットワークで 代替ネームサーバーを使用する アウトバウンド サーバー ポリシーを使用できません。 詳細については、 VPC ネットワークの解決順序をご覧ください。

FQDN オブジェクトを IP アドレスにマッピングする

Cloud Next Generation Firewall は、FQDN オブジェクトを IP アドレスに定期的に解決します。Cloud NGFW は、ファイアウォール ルールのターゲットを含む VPC ネットワークで、Cloud DNS VPC の名前解決順序に 従います。

Cloud NGFW は、IP アドレスの解決に次の動作を使用します。

  • CNAME 追跡をサポートする 。FQDN オブジェクト クエリの回答が CNAME レコードの場合、Cloud NGFW は Cloud DNS CNAME 追跡を使用します。

  • IP アドレスをプログラムする 。Cloud NGFW は、FQDN オブジェクトを使用するファイアウォール ルールをプログラムするときに、解決された IP アドレスを使用します。各 FQDN オブジェクトは、最大 32 個の IPv4 アドレスと 32 個の IPv6 アドレスにマッピングできます。

    FQDN オブジェクト クエリの DNS 回答が 32 個を超える IPv4 アドレスまたは 32 個を超える IPv6 アドレスに解決される場合、Cloud NGFW は、ファイアウォール ルールでプログラムされた IP アドレスを最初の 32 個の IPv4 アドレスと最初の 32 個の IPv6 アドレスに制限します。

  • FQDN オブジェクトを無視する 。Cloud NGFW が FQDN オブジェクトを IP アドレスに解決できない場合、FQDN オブジェクトは無視されます。次の場合、Cloud NGFW は FQDN オブジェクトを無視します。

    • NXDOMAIN 回答を受信した場合。NXDOMAIN 回答は、FQDN オブジェクト クエリの DNS レコードが存在しないことを示すネームサーバーからの明示的な回答です。

    • 回答に IP アドレスが存在しない場合。この場合、FQDN オブジェクト クエリは、Cloud NGFW がファイアウォール ルールのプログラミングに使用できる IP アドレスを含む回答を生成しません。

    • Cloud DNS サーバーに到達できない場合。回答を提供する DNS サーバーに到達できない場合、Cloud NGFW は FQDN オブジェクトを無視します。

    FQDN オブジェクトが無視されると、Cloud NGFW は可能な限り、ファイアウォール ルールの残りの部分をプログラムします。

FQDN オブジェクトに関する考慮事項

FQDN オブジェクトについては、次の点を考慮してください。

  • FQDN は他のパラメータと組み合わせることができます。上り(内向き)ルールのソース パラメータの組み合わせの詳細については、 上り(内向き)ルールの送信元をご覧ください。 下り(外向き)ルールの宛先パラメータの組み合わせの詳細については、 下り(外向き)ルールの送信先をご覧ください。

  • FQDN オブジェクトは IP アドレスとしてマッピングされ、プログラムされるため、2 つ以上の FQDN オブジェクトが同じ IP アドレスにマッピングされる場合、Cloud NGFW は次の動作を使用します。同じターゲットに適用される次の 2 つのファイアウォール ルールがあるとします。

    • ルール 1: 優先度 100、送信元 FQDN example1.com からの上り(内向き)を許可
    • ルール 2: 優先度 200、送信元 FQDN example2.com からの上り(内向き)を許可

    example1.comexample2.com の両方が同じ IP アドレスに解決される場合、example1.comexample2.com の両方からの上り(内向き)パケットは、このルールが優先度が高いため、最初のファイアウォール ルールと一致します。

  • FQDN オブジェクトの使用に関する考慮事項は次のとおりです。

    • DNS クエリは、リクエスト元のクライアントの場所に基づいて一意の回答を返すことができます。

    • DNS ベースのロード バランシング システムが関与している場合、DNS 回答は大きく異なる可能性があります。

    • DNS 回答に 32 個を超える IPv4 アドレスが含まれる場合があります。

    • DNS 回答に 32 個を超える IPv6 アドレスが含まれる場合があります。

    上記の場合、Cloud NGFW はファイアウォール ルールが適用される VM ネットワーク インターフェースを含む各リージョンで DNS クエリを実行するため、ファイアウォール ルールでプログラムされた IP アドレスには、FQDN に関連付けられたすべての可能な IP アドレスが含まれません。

    googleapis.com などのほとんどの Google ドメイン名は、これらの状況の 1 つ以上に該当します。代わりに IP アドレスまたは アドレス グループを使用してください。

  • 有効期間(TTL)が 90 秒未満の DNS A レコードで FQDN オブジェクトを使用しないでください。

ドメイン名の形式

FQDN オブジェクトは、標準の FQDN 形式に従う必要があります。 この形式は、 RFC 1035RFC 1123、および RFC 4343 で定義されています。Cloud NGFW は、次のすべての形式ルールを満たさないドメイン名を含む FQDN オブジェクトを拒否します。

  • 各 FQDN オブジェクトは、少なくとも 2 つのラベルを持つドメイン名である必要があります。

    • 各ラベルは、次の文字のみを含む正規表現と一致する必要があります。[a-z]([-a-z0-9][a-z0-9])?.
    • 各ラベルの長さは 1 ~ 63 文字にする必要があります。
    • ラベルはドット(.)で連結する必要があります。

    そのため、FQDN オブジェクトは、ワイルドカード文字(*)や トップレベル(またはルート)ドメイン名(*.example.com..org など)をサポートしていません。 これらには単一のラベルのみが含まれているためです。

  • FQDN オブジェクトは、国際化ドメイン名(IDN)をサポートしています。IDN は、Unicode 形式または Punycode 形式で指定できます。次の点を考慮してください。

    • Unicode 形式で IDN を指定すると、Cloud NGFW は IDN を Punycode 形式に変換してから処理します。

    • IDN コンバータを使用して、IDN の Punycode 表現を作成できます。

    • Punycode 形式に変換した後は、IDN に対して、1 ラベルあたり 1 ~ 63 文字の制限が適用されます。

  • 完全修飾ドメイン名(FQDN)のエンコードされた長さは 255 バイト(オクテット)を超えることはできません。

Cloud NGFW は、同じファイアウォール ルール内の同等のドメイン名をサポートしていません。たとえば、2 つのドメイン名(または IDN の Punycode 表現)の末尾のドット(.)が異なる場合、Cloud NGFW はそれらを同等とみなします。

次のステップ