Panoramica degli oggetti nome di dominio completo

Gli oggetti nome di dominio completo (FQDN) ti consentono di definire regole firewall utilizzando nomi di dominio anziché indirizzi IP specifici. Questo documento descrive come gli oggetti FQDN vengono mappati agli indirizzi IP e supportano vari servizi Cloud DNS:

Questo documento è rivolto agli amministratori di rete e agli ingegneri della sicurezza che configurano e gestiscono i criteri del firewall.

Per utilizzare gli oggetti FQDN, la rete Virtual Private Cloud (VPC) non può utilizzare una policy dei server in uscita con un server dei nomi alternativo. Per saperne di più, consulta Ordine di risoluzione della rete VPC.

Mappare gli oggetti FQDN agli indirizzi IP

Cloud Next Generation Firewall risolve periodicamente gli oggetti FQDN in indirizzi IP. Cloud NGFW segue l'ordine di risoluzione dei nomi VPC di Cloud DNS nella rete VPC che contiene i target della regola firewall.

Cloud NGFW utilizza il seguente comportamento per la risoluzione degli indirizzi IP:

  • Supporta la ricerca del CNAME. Cloud NGFW utilizza la ricerca del CNAME di Cloud DNS se la risposta a una query di un oggetto FQDN è un record CNAME.

  • Indirizzi IP del programma. Cloud NGFW utilizza gli indirizzi IP risolti quando programma le regole firewall che utilizzano oggetti FQDN. Ogni oggetto FQDN può essere mappato a un massimo di 32 indirizzi IPv4 e 32 indirizzi IPv6.

    Se la risposta DNS a una query di un oggetto FQDN viene risolta in più di 32 indirizzi IPv4 o più di 32 indirizzi IPv6, Cloud NGFW limita gli indirizzi IP programmati nelle regole firewall ai primi 32 indirizzi IPv4 e ai primi 32 indirizzi IPv6.

  • Ignora oggetti FQDN. Se Cloud NGFW non riesce a risolvere un oggetto FQDN in un indirizzo IP, lo ignora. Nelle seguenti situazioni, Cloud NGFW ignora un oggetto FQDN:

    • Quando vengono ricevute NXDOMAIN risposte. Le risposte NXDOMAIN sono risposte esplicite di un server dei nomi che indicano che non esiste alcun record DNS per la query dell'oggetto FQDN.

    • Quando in una risposta non esiste alcun indirizzo IP. In questa situazione, una query di oggetti FQDN non restituisce una risposta con un indirizzo IP che Cloud NGFW può utilizzare per programmare una regola firewall.

    • Quando il server Cloud DNS non è raggiungibile. Cloud NGFW ignora gli oggetti FQDN se un server DNS che fornisce la risposta non è raggiungibile.

    Quando un oggetto FQDN viene ignorato, Cloud NGFW programma le parti rimanenti di una regola firewall, se possibile.

Considerazioni sugli oggetti FQDN

Considera quanto segue per gli oggetti FQDN:

  • Puoi combinare gli FQDN con altri parametri. Per informazioni dettagliate sulle combinazioni di parametri di origine nelle regole in entrata, consulta Origini per le regole in entrata. Per informazioni dettagliate sulle combinazioni di parametri di destinazione nelle regole in uscita, consulta Destinazioni per le regole in uscita.

  • Poiché gli oggetti FQDN vengono mappati e programmati come indirizzi IP, Cloud NGFW utilizza il seguente comportamento quando due o più oggetti FQDN vengono mappati allo stesso indirizzo IP. Supponiamo di avere le seguenti due regole firewall che si applicano allo stesso target:

    • Regola 1: priorità 100, ingresso consentito dal nome di dominio completo di origine example1.com
    • Regola 2: priorità 200, ingresso consentito dall'FQDN di origine example2.com

    Se sia example1.com che example2.com vengono risolti nello stesso indirizzo IP, i pacchetti in entrata sia da example1.com che da example2.com corrispondono alla prima regola firewall perché questa regola ha una priorità più alta.

  • Di seguito sono riportate alcune considerazioni sull'utilizzo degli oggetti FQDN:

    • Una query DNS può avere risposte univoche in base alla posizione del client richiedente.

    • Le risposte DNS possono variare notevolmente quando è coinvolto un sistema di bilanciamento del carico basato su DNS.

    • Una risposta DNS potrebbe contenere più di 32 indirizzi IPv4.

    • Una risposta DNS potrebbe contenere più di 32 indirizzi IPv6.

    Nelle situazioni precedenti, poiché Cloud NGFW esegue query DNS in ogni regione che contiene l'interfaccia di rete VM a cui si applica la regola firewall, gli indirizzi IP programmati nelle regole firewall non contengono tutti i possibili indirizzi IP associati all'FQDN.

    La maggior parte dei nomi di dominio Google, come googleapis.com, è soggetta a una o più di queste situazioni. Utilizza indirizzi IP o gruppi di indirizzi.

  • Evita di utilizzare oggetti FQDN con record DNS A che hanno una durata (TTL) inferiore a 90 secondi.

Formattare i nomi di dominio

Gli oggetti FQDN devono rispettare il formato FQDN standard. Questo formato è definito in RFC 1035, RFC 1123 e RFC 4343. Cloud NGFW rifiuta gli oggetti FQDN che includono un nome di dominio che non soddisfa tutte le seguenti regole di formattazione:

  • Ogni oggetto FQDN deve essere un nome di dominio con almeno due etichette:

    • Ogni etichetta deve corrispondere a un'espressione regolare che include solo questi caratteri: [a-z]([-a-z0-9][a-z0-9])?..
    • Ogni etichetta deve avere una lunghezza compresa tra 1 e 63 caratteri.
    • Le etichette devono essere concatenate con un punto (.).

    Di conseguenza, gli oggetti FQDN non supportano caratteri jolly (*) o nomi di dominio di primo livello (o radice), come *.example.com. e .org, perché includono una sola etichetta.

  • Gli oggetti FQDN supportano i nomi di dominio internazionalizzati (IDN). Puoi fornire un IDN in formato Unicode o Punycode. Considera quanto segue:

    • Se specifichi un IDN in formato Unicode, Cloud NGFW lo converte in formato Punycode prima dell'elaborazione.

    • Puoi utilizzare il convertitore IDN per creare la rappresentazione Punycode di un IDN.

    • Il limite di caratteri di 1-63 per etichetta si applica agli IDN dopo la conversione nel formato Punycode.

  • La lunghezza codificata di un nome di dominio completo (FQDN) non può superare i 255 byte (ottetti).

Cloud NGFW non supporta nomi di dominio equivalenti nella stessa regola firewall. Ad esempio, se i due nomi di dominio (o le rappresentazioni Punycode degli IDN) differiscono al massimo per un punto finale (.), Cloud NGFW li considera equivalenti.

Passaggi successivi