Descripción general de los objetos de nombres de dominio completamente calificados

Los objetos de nombre de dominio completamente calificado (FQDN) te permiten definir reglas de firewall con nombres de dominio en lugar de direcciones IP específicas. En este documento, se describe cómo los objetos FQDN se asignan a direcciones IP y admiten varios servicios de Cloud DNS:

Este documento está dirigido a los administradores de red y los ingenieros de seguridad que configuran y administran políticas de firewall.

Para usar objetos de FQDN, la red de nube privada virtual (VPC) no puede usar una política del servidor saliente con un servidor de nombres alternativo. Para obtener más información, consulta Orden de resolución de la red de VPC.

Asigna objetos FQDN a direcciones IP

Cloud Next Generation Firewall resuelve periódicamente los objetos FQDN en direcciones IP. Cloud NGFW sigue el orden de resolución de nombres de VPC de Cloud DNS en la red de VPC que contiene los destinos de la regla de firewall.

Cloud NGFW usa el siguiente comportamiento para la resolución de direcciones IP:

  • Admite la búsqueda de CNAME. Cloud NGFW usa la búsqueda de CNAME de Cloud DNS si la respuesta a una consulta de objeto de FQDN es un registro CNAME.

  • Direcciones IP del programa Cloud NGFW usa las direcciones IP resueltas cuando programa las reglas de firewall que usan objetos FQDN. Cada objeto FQDN se puede asignar a un máximo de 32 direcciones IPv4 y 32 direcciones IPv6.

    Si la respuesta de DNS para una consulta de objeto FQDN se resuelve en más de 32 direcciones IPv4 o más de 32 direcciones IPv6, Cloud NGFW limita las direcciones IP programadas en las reglas de firewall a las primeras 32 direcciones IPv4 y las primeras 32 direcciones IPv6.

  • Ignorar objetos FQDN Si Cloud NGFW no puede resolver un objeto FQDN en una dirección IP, ignora el objeto FQDN. En las siguientes situaciones, Cloud NGFW ignora un objeto de FQDN:

    • Cuando se reciben NXDOMAIN respuestas Las respuestas NXDOMAIN son respuestas explícitas de un servidor de nombres que indican que no existe ningún registro DNS para la consulta del objeto FQDN.

    • Cuando no hay una dirección IP en una respuesta. En esta situación, una consulta de objeto de FQDN no genera una respuesta con una dirección IP que Cloud NGFW pueda usar para programar una regla de firewall.

    • Cuando no se puede acceder al servidor DNS de Cloud DNS. Cloud NGFW ignora los objetos FQDN si no se puede acceder a un servidor DNS que proporcione la respuesta.

    Cuando se ignora un objeto FQDN, Cloud NGFW programa las partes restantes de una regla de firewall, si es posible.

Consideraciones para los objetos FQDN

Ten en cuenta lo siguiente para los objetos FQDN:

  • Puedes combinar FQDN con otros parámetros. Para obtener detalles sobre las combinaciones de parámetros de origen en las reglas de entrada, consulta Orígenes para las reglas de entrada. Si deseas obtener detalles sobre las combinaciones de parámetros de destino en las reglas de salida, consulta Destinos para las reglas de salida.

  • Dado que los objetos FQDN se asignan a direcciones IP y se programan como tales, Cloud NGFW se comporta de la siguiente manera cuando dos o más objetos FQDN se asignan a la misma dirección IP. Supongamos que tienes las siguientes dos reglas de firewall que se aplican al mismo destino:

    • Regla 1: prioridad 100, entrada permitida desde el FQDN de origen example1.com
    • Regla 2: prioridad 200, entrada permitida desde el FQDN de origen example2.com

    Si tanto example1.com como example2.com se resuelven en la misma dirección IP, los paquetes de entrada de example1.com y example2.com coinciden con la primera regla de firewall porque esta regla tiene una prioridad más alta.

  • Entre las consideraciones para usar objetos FQDN, se incluyen las siguientes:

    • Una consulta de DNS puede tener respuestas únicas según la ubicación del cliente solicitante.

    • Las respuestas de DNS pueden ser muy variables cuando se involucra un sistema de balanceo de cargas basado en DNS.

    • Una respuesta de DNS puede contener más de 32 direcciones IPv4.

    • Una respuesta de DNS puede contener más de 32 direcciones IPv6.

    En las situaciones anteriores, debido a que el Cloud NGFW realiza consultas de DNS en cada región que contiene la interfaz de red de la VM a la que se aplica la regla de firewall, las direcciones IP programadas en las reglas de firewall no contienen todas las direcciones IP posibles asociadas con el FQDN.

    La mayoría de los nombres de dominio de Google, como googleapis.com, están sujetos a una o más de estas situaciones. En su lugar, usa direcciones IP o grupos de direcciones.

  • Evita usar objetos FQDN con registros A de DNS que tengan un tiempo de actividad (TTL) de menos de 90 segundos.

Formatea nombres de dominio

Los objetos FQDN deben seguir el formato de FQDN estándar. Este formato se define en RFC 1035, RFC 1123 y RFC 4343. Cloud NGFW rechaza los objetos FQDN que incluyen un nombre de dominio que no cumple con todas las siguientes reglas de formato:

  • Cada objeto FQDN debe ser un nombre de dominio con al menos dos etiquetas:

    • Cada etiqueta debe coincidir con una expresión regular que incluya solo estos caracteres: [a-z]([-a-z0-9][a-z0-9])?..
    • Cada etiqueta debe tener una longitud de entre 1 y 63 caracteres.
    • Las etiquetas deben concatenarse con un punto (.).

    Por lo tanto, los objetos FQDN no admiten caracteres comodín (*) ni nombres de dominio de nivel superior (o raíz), como *.example.com. y .org, ya que estos incluyen solo una etiqueta.

  • Los objetos FQDN admiten nombres de dominio internacionalizados (IDN). Puedes proporcionar un IDN en formato Unicode o Punycode. Ten en cuenta lo siguiente:

    • Si especificas un IDN en formato Unicode, Cloud NGFW lo convierte al formato Punycode antes de procesarlo.

    • Puedes usar el convertidor de IDN para crear la representación en Punycode de un IDN.

    • El límite de caracteres de 1 a 63 por etiqueta se aplica a los IDN después de la conversión al formato Punycode.

  • La longitud codificada de un nombre de dominio completamente calificado (FQDN) no puede superar los 255 bytes (octetos).

Cloud NGFW no admite nombres de dominio equivalentes en la misma regla de firewall. Por ejemplo, si los dos nombres de dominio (o las representaciones de Punycode de los IDN) difieren como máximo en un punto final (.), Cloud NGFW los considera equivalentes.

¿Qué sigue?