Ringkasan objek nama domain yang sepenuhnya memenuhi syarat

Objek nama domain yang sepenuhnya memenuhi syarat (FQDN) berisi nama domain yang Anda tentukan dalam format nama domain. Anda dapat menggunakan objek FQDN sebagai sumber untuk aturan ingress atau sebagai tujuan untuk aturan egress dalam kebijakan firewall hierarkis, kebijakan firewall jaringan global, atau kebijakan firewall jaringan regional.

Anda dapat menggabungkan FQDN dengan parameter lain. Untuk mengetahui detail tentang kombinasi parameter sumber dalam aturan ingress, lihat Sumber untuk aturan ingress. Untuk mengetahui detail tentang kombinasi parameter tujuan dalam aturan egress, lihat Tujuan untuk aturan egress.

Objek FQDN mendukung kebijakan respons Cloud DNS, zona pribadi terkelola yang tercakup dalam jaringan VPC, nama DNS internal Compute Engine, dan zona DNS publik. Dukungan ini berlaku selama jaringan Virtual Private Cloud (VPC) tidak memiliki kebijakan server keluar yang menentukan server nama alternatif. Untuk mengetahui informasi selengkapnya, lihat Urutan penyelesaian jaringan VPC.

Memetakan objek FQDN ke alamat IP

Cloud Next Generation Firewall secara berkala menyelesaikan objek FQDN ke alamat IP. Cloud NGFW mengikuti urutan resolusi nama VPC Cloud DNS di jaringan VPC yang berisi target aturan firewall.

Cloud NGFW menggunakan perilaku berikut untuk resolusi alamat IP:

  • Mendukung pencarian CNAME. Cloud NGFW menggunakan CNAME chasing Cloud DNS jika jawaban untuk kueri objek FQDN adalah data CNAME.

  • Alamat IP program. Cloud NGFW menggunakan alamat IP yang di-resolve saat memprogram aturan firewall yang menggunakan objek FQDN. Setiap objek FQDN dapat dipetakan ke maksimum 32 alamat IPv4 dan 32 alamat IPv6.

    Jika jawaban DNS untuk kueri objek FQDN di-resolve ke lebih dari 32 alamat IPv4 atau lebih dari 32 alamat IPv6, Cloud NGFW akan membatasi alamat IP yang diprogram dalam aturan firewall ke 32 alamat IPv4 pertama dan 32 alamat IPv6 pertama.

  • Mengabaikan objek FQDN. Jika Cloud NGFW tidak dapat me-resolve objek FQDN ke alamat IP, Cloud NGFW akan mengabaikan objek FQDN tersebut. Dalam situasi berikut, Cloud NGFW mengabaikan objek FQDN:

    • Saat NXDOMAIN jawaban diterima. Jawaban NXDOMAIN adalah jawaban eksplisit dari server nama yang menunjukkan bahwa tidak ada data DNS untuk kueri objek FQDN.

    • Jika tidak ada alamat IP dalam jawaban. Dalam situasi ini, kueri objek FQDN tidak menghasilkan jawaban dengan alamat IP yang dapat digunakan Cloud NGFW untuk memprogram aturan firewall.

    • Saat server Cloud DNS tidak dapat dijangkau. Cloud NGFW mengabaikan objek FQDN jika server DNS yang memberikan jawaban tidak dapat dijangkau.

    Jika objek FQDN diabaikan, Cloud NGFW akan memprogram bagian aturan firewall yang tersisa, jika memungkinkan.

Pertimbangan untuk objek FQDN

Pertimbangkan hal berikut untuk objek FQDN:

  1. Karena objek FQDN dipetakan ke dan diprogram sebagai alamat IP, Cloud NGFW menggunakan perilaku berikut saat dua atau lebih objek FQDN dipetakan ke alamat IP yang sama. Misalkan Anda memiliki dua aturan firewall berikut yang berlaku untuk target yang sama:

    • Aturan 1: prioritas 100, izinkan ingress dari FQDN sumber example1.com
    • Aturan 2: prioritas 200, izinkan ingress dari FQDN sumber example2.com

    Jika example1.com dan example2.com di-resolve ke alamat IP yang sama, paket masuk dari example1.com dan example2.com cocok dengan aturan firewall pertama karena aturan ini memiliki prioritas yang lebih tinggi.

  2. Pertimbangan untuk menggunakan objek FQDN mencakup hal berikut:

    • Kueri DNS dapat memiliki jawaban unik berdasarkan lokasi klien yang membuat permintaan.

    • Respons DNS dapat sangat bervariasi jika sistem load balancing berbasis DNS terlibat.

    • Jawaban DNS mungkin berisi lebih dari 32 alamat IPv4.

    • Jawaban DNS dapat berisi lebih dari 32 alamat IPv6.

    Dalam situasi sebelumnya, karena Cloud NGFW melakukan kueri DNS di setiap region yang berisi antarmuka jaringan VM yang aturan firewallnya berlaku, alamat IP yang diprogram dalam aturan firewall tidak berisi semua alamat IP yang mungkin terkait dengan FQDN.

    Sebagian besar nama domain Google, seperti googleapis.com, tunduk pada satu atau beberapa situasi ini. Sebagai gantinya, gunakan alamat IP atau grup alamat.

  3. Hindari penggunaan objek FQDN dengan data A DNS yang memiliki time to live (TTL) kurang dari 90 detik.

Memformat nama domain

Objek FQDN harus mengikuti format FQDN standar. Format ini ditentukan dalam RFC 1035, RFC 1123, dan RFC 4343. Cloud NGFW menolak objek FQDN yang menyertakan nama domain yang tidak memenuhi semua aturan pemformatan berikut:

  • Setiap objek FQDN harus berupa nama domain dengan minimal dua label:

    • Setiap label harus cocok dengan ekspresi reguler yang hanya menyertakan karakter berikut: [a-z]([-a-z0-9][a-z0-9])?..
    • Setiap label harus memiliki panjang 1-63 karakter.
    • Label harus digabungkan dengan titik (.).

    Oleh karena itu, objek FQDN tidak mendukung karakter pengganti (*) atau nama domain tingkat teratas (atau root), seperti *.example.com. dan .org, karena hanya menyertakan satu label.

  • Objek FQDN mendukung Nama Domain Internasional (IDN). Anda dapat memberikan IDN dalam format Unicode atau Punycode. Pertimbangkan hal berikut:

    • Jika Anda menentukan IDN dalam format Unicode, Cloud NGFW akan mengonversinya ke format Punycode sebelum diproses.

    • Anda dapat menggunakan pengonversi IDN untuk membuat representasi Punycode dari IDN.

    • Batas karakter 1-63 per label berlaku untuk IDN setelah konversi ke format Punycode.

  • Panjang yang dienkode dari nama domain yang sepenuhnya memenuhi syarat (FQDN) tidak boleh melebihi 255 byte (oktet).

Cloud NGFW tidak mendukung nama domain yang setara dalam aturan firewall yang sama. Misalnya, jika dua nama domain (atau representasi Punycode dari IDN) berbeda paling banyak dengan titik terminal (.), Cloud NGFW menganggapnya setara.

Langkah berikutnya