Descripción general de los objetos de nombres de dominio completamente calificados

Los objetos de nombre de dominio completamente calificado (FQDN) contienen nombres de dominio que especificas en el formato de nombre de dominio. Puedes usar objetos FQDN como fuentes para reglas de entrada o como destinos para reglas de salida en una política de firewall jerárquica, una política de firewall de red global o una política de firewall de red regional.

Puedes combinar FQDN con otros parámetros. Para obtener detalles sobre las combinaciones de parámetros de origen en las reglas de entrada, consulta Orígenes para las reglas de entrada. Si deseas obtener detalles sobre las combinaciones de parámetros de destino en las reglas de salida, consulta Destinos para las reglas de salida.

Los objetos de FQDN admiten políticas de respuesta de Cloud DNS, zonas privadas administradas con alcance en la red de VPC, nombres de DNS internos de Compute Engine y zonas de DNS públicas. Esta compatibilidad se aplica siempre y cuando la red de nube privada virtual (VPC) no tenga una política de servidor de salida que especifique un servidor de nombres alternativo. Para obtener más información, consulta Orden de resolución de la red de VPC.

Asigna objetos FQDN a direcciones IP

Cloud Next Generation Firewall resuelve periódicamente los objetos FQDN en direcciones IP. El NGFW de Cloud sigue el orden de resolución de nombres de VPC de Cloud DNS en la red de VPC que contiene los destinos de la regla de firewall.

Cloud NGFW usa el siguiente comportamiento para la resolución de direcciones IP:

  • Admite la búsqueda de CNAME. El NGFW de Cloud usa la búsqueda de CNAME de Cloud DNS si la respuesta a una consulta de objeto FQDN es un registro CNAME.

  • Direcciones IP del programa Cloud NGFW usa las direcciones IP resueltas cuando programa las reglas de firewall que usan objetos FQDN. Cada objeto FQDN se puede asignar a un máximo de 32 direcciones IPv4 y 32 direcciones IPv6.

    Si la respuesta de DNS para una consulta de objeto FQDN se resuelve en más de 32 direcciones IPv4 o más de 32 direcciones IPv6, Cloud NGFW limita las direcciones IP programadas en las reglas de firewall a las primeras 32 direcciones IPv4 y las primeras 32 direcciones IPv6.

  • Ignorar objetos FQDN Si Cloud NGFW no puede resolver un objeto FQDN en una dirección IP, ignora el objeto FQDN. En las siguientes situaciones, Cloud NGFW ignora un objeto de FQDN:

    • Cuando se reciben NXDOMAIN respuestas. Las respuestas NXDOMAIN son respuestas explícitas de un servidor de nombres que indican que no existe ningún registro de DNS para la consulta del objeto FQDN.

    • Cuando no hay una dirección IP en una respuesta. En esta situación, una consulta de objeto de FQDN no genera una respuesta con una dirección IP que el NGFW de Cloud pueda usar para programar una regla de firewall.

    • Cuando no se puede acceder al servidor de Cloud DNS Cloud NGFW ignora los objetos FQDN si no se puede acceder a un servidor DNS que proporcione la respuesta.

    Cuando se ignora un objeto FQDN, Cloud NGFW programa las partes restantes de una regla de firewall, si es posible.

Consideraciones para los objetos FQDN

Ten en cuenta lo siguiente para los objetos FQDN:

  1. Dado que los objetos FQDN se asignan a direcciones IP y se programan como tales, Cloud NGFW se comporta de la siguiente manera cuando dos o más objetos FQDN se asignan a la misma dirección IP. Supongamos que tienes las siguientes dos reglas de firewall que se aplican al mismo destino:

    • Regla 1: prioridad 100, entrada permitida desde el FQDN de origen example1.com
    • Regla 2: prioridad 200, entrada permitida desde el FQDN de origen example2.com

    Si tanto example1.com como example2.com se resuelven en la misma dirección IP, los paquetes de entrada de example1.com y example2.com coinciden con la primera regla de firewall porque esta regla tiene una prioridad más alta.

  2. Entre las consideraciones para usar objetos FQDN, se incluyen las siguientes:

    • Una consulta de DNS puede tener respuestas únicas según la ubicación del cliente solicitante.

    • Las respuestas de DNS pueden ser muy variables cuando se involucra un sistema de balanceo de cargas basado en DNS.

    • Una respuesta de DNS puede contener más de 32 direcciones IPv4.

    • Una respuesta de DNS puede contener más de 32 direcciones IPv6.

    En las situaciones anteriores, debido a que el NGFW de Cloud realiza consultas de DNS en cada región que contiene la interfaz de red de la VM a la que se aplica la regla de firewall, las direcciones IP programadas en las reglas de firewall no contienen todas las direcciones IP posibles asociadas con el FQDN.

    La mayoría de los nombres de dominio de Google, como googleapis.com, están sujetos a una o más de estas situaciones. En su lugar, usa direcciones IP o grupos de direcciones.

  3. Evita usar objetos FQDN con registros A de DNS que tengan un tiempo de actividad (TTL) de menos de 90 segundos.

Formatea nombres de dominio

Los objetos FQDN deben seguir el formato de FQDN estándar. Este formato se define en RFC 1035, RFC 1123 y RFC 4343. Cloud NGFW rechaza los objetos FQDN que incluyen un nombre de dominio que no cumple con todas las siguientes reglas de formato:

  • Cada objeto FQDN debe ser un nombre de dominio con al menos dos etiquetas:

    • Cada etiqueta debe coincidir con una expresión regular que incluya solo estos caracteres: [a-z]([-a-z0-9][a-z0-9])?..
    • Cada etiqueta debe tener una longitud de entre 1 y 63 caracteres.
    • Las etiquetas deben concatenarse con un punto (.).

    Por lo tanto, los objetos FQDN no admiten caracteres comodín (*) ni nombres de dominio de nivel superior (o raíz), como *.example.com. y .org, ya que estos incluyen solo una etiqueta.

  • Los objetos FQDN admiten nombres de dominio internacionalizados (IDN). Puedes proporcionar un IDN en formato Unicode o Punycode. Ten en cuenta lo siguiente:

    • Si especificas un IDN en formato Unicode, Cloud NGFW lo convierte al formato Punycode antes de procesarlo.

    • Puedes usar el convertidor de IDN para crear la representación en Punycode de un IDN.

    • El límite de caracteres de 1 a 63 por etiqueta se aplica a los IDN después de la conversión al formato Punycode.

  • La longitud codificada de un nombre de dominio completamente calificado (FQDN) no puede superar los 255 bytes (octetos).

El NGFW de Cloud no admite nombres de dominio equivalentes en la misma regla de firewall. Por ejemplo, si los dos nombres de dominio (o las representaciones de Punycode de los IDN) difieren como máximo en un punto final (.), Cloud NGFW los considera equivalentes.

¿Qué sigue?