정규화된 도메인 이름 (FQDN) 객체에는 도메인 이름 형식에 지정한 도메인 이름이 포함됩니다. 계층적 방화벽 정책, 전역 네트워크 방화벽 정책 또는 리전 네트워크 방화벽 정책에서 FQDN 객체를 인그레스 규칙의 소스 또는 이그레스 규칙의 대상으로 사용할 수 있습니다.
FQDN을 다른 매개변수와 결합할 수 있습니다. 인그레스 규칙의 소스 매개변수 조합에 관한 자세한 내용은 인그레스 규칙의 소스를 참고하세요. 이그레스 규칙의 대상 매개변수 조합에 대한 자세한 내용은 이그레스 규칙의 대상을 참고하세요.
FQDN 객체는 Cloud DNS 응답 정책, VPC 네트워크 범위 관리형 비공개 영역, Compute Engine 내부 DNS 이름, 공개 DNS 영역을 지원합니다. 이 지원은 Virtual Private Cloud (VPC) 네트워크에 대체 네임서버를 지정하는 아웃바운드 서버 정책이 없는 경우에 적용됩니다. 자세한 내용은 VPC 네트워크 확인 순서를 참고하세요.
FQDN 객체를 IP 주소에 매핑
Cloud Next Generation Firewall은 주기적으로 FQDN 객체를 IP 주소로 변환합니다. Cloud NGFW는 방화벽 규칙의 타겟이 포함된 VPC 네트워크에서 Cloud DNS VPC 이름 변환 순서를 따릅니다.
Cloud NGFW는 IP 주소 확인에 다음 동작을 사용합니다.
CNAME 추적 지원 FQDN 객체 쿼리에 대한 대답이 CNAME 레코드인 경우 Cloud NGFW는 Cloud DNS CNAME 추적을 사용합니다.
프로그램 IP 주소 Cloud NGFW는 FQDN 객체를 사용하는 방화벽 규칙을 프로그래밍할 때 변환된 IP 주소를 사용합니다. 각 FQDN 객체는 최대 32개의 IPv4 주소와 32개의 IPv6 주소에 매핑될 수 있습니다.
FQDN 객체 쿼리의 DNS 응답이 32개를 초과하는 IPv4 주소 또는 32개를 초과하는 IPv6 주소로 변환되는 경우 Cloud NGFW는 방화벽 규칙에서 프로그래밍된 IP 주소를 처음 32개의 IPv4 주소와 처음 32개의 IPv6 주소로 제한합니다.
FQDN 객체 무시 Cloud NGFW가 FQDN 객체를 IP 주소로 변환할 수 없는 경우 FQDN 객체를 무시합니다. 다음 상황에서는 Cloud NGFW가 FQDN 객체를 무시합니다.
NXDOMAIN개의 답변이 접수된 경우NXDOMAIN응답은 FQDN 객체 쿼리에 대한 DNS 레코드가 없음을 나타내는 네임서버의 명시적 응답입니다.답변에 IP 주소가 없는 경우 이 경우 FQDN 객체 쿼리는 Cloud NGFW가 방화벽 규칙을 프로그래밍하는 데 사용할 수 있는 IP 주소가 포함된 답변을 생성하지 않습니다.
Cloud DNS 서버에 연결할 수 없는 경우 답변을 제공하는 DNS 서버에 연결할 수 없는 경우 Cloud NGFW는 FQDN 객체를 무시합니다.
FQDN 객체가 무시되면 Cloud NGFW는 가능한 경우 방화벽 규칙의 나머지 부분을 프로그래밍합니다.
FQDN 객체에 대한 고려사항
FQDN 객체에 관해 다음 사항을 고려하세요.
FQDN 객체는 IP 주소로 매핑되고 프로그래밍되므로 두 개 이상의 FQDN 객체가 동일한 IP 주소로 매핑되는 경우 Cloud NGFW는 다음 동작을 사용합니다. 동일한 타겟에 적용되는 다음 두 방화벽 규칙이 있다고 가정해 보겠습니다.
- 규칙 1: 우선순위
100, 소스 FQDNexample1.com에서 인그레스 허용 - 규칙 2: 우선순위
200, 소스 FQDNexample2.com에서 인그레스 허용
example1.com와example2.com가 모두 동일한 IP 주소로 확인되면 이 규칙의 우선순위가 더 높기 때문에example1.com와example2.com의 인그레스 패킷이 첫 번째 방화벽 규칙과 일치합니다.- 규칙 1: 우선순위
FQDN 객체 사용 시 고려사항은 다음과 같습니다.
DNS 쿼리에는 요청 클라이언트의 위치에 따라 고유한 답변이 포함될 수 있습니다.
DNS 기반 부하 분산 시스템이 포함된 경우 DNS 응답은 매우 가변적일 수 있습니다.
DNS 응답에는 32개가 넘는 IPv4 주소가 포함될 수 있습니다.
DNS 대답에는 32개가 넘는 IPv6 주소가 포함될 수 있습니다.
위의 상황에서 Cloud NGFW는 방화벽 규칙이 적용되는 VM 네트워크 인터페이스가 포함된 각 리전에서 DNS 쿼리를 실행하므로 방화벽 규칙에 프로그래밍된 IP 주소에는 FQDN과 연결된 모든 가능한 IP 주소가 포함되지 않습니다.
googleapis.com와 같은 대부분의 Google 도메인 이름은 이러한 상황 중 하나 이상에 해당합니다. IP 주소 또는 주소 그룹을 대신 사용하세요.수명 (TTL)이 90초 미만인 DNS
A레코드를 포함하는 FQDN 객체는 사용하지 않는 것이 좋습니다.
도메인 이름 형식 지정
FQDN 객체는 표준 FQDN 형식을 따라야 합니다. 이 형식은 RFC 1035, RFC 1123, RFC 4343에 정의되어 있습니다. Cloud NGFW는 다음 형식 규칙을 모두 충족하지 않는 도메인 이름이 포함된 FQDN 객체를 거부합니다.
각 FQDN 객체는 라벨이 2개 이상인 도메인 이름이어야 합니다.
- 각 라벨은
[a-z]([-a-z0-9][a-z0-9])?.문자만 포함하는 정규 표현식과 일치해야 합니다. - 각 라벨의 길이는 1~63자여야 합니다.
- 라벨은 점 (.)으로 연결해야 합니다.
따라서 FQDN 객체는 와일드 카드 문자(
*) 또는 최상위(루트) 도메인 이름(예:*.example.com.및.org)을 지원하지 않습니다. 이러한 이름에는 단일 라벨만 포함되기 때문입니다.- 각 라벨은
FQDN 객체는 국제화된 도메인 이름 (IDN)을 지원합니다. 유니코드 또는 퓨니코드 형식으로 IDN을 제공할 수 있습니다. 다음 사항을 고려하세요.
유니코드 형식으로 IDN을 지정하는 경우 Cloud NGFW는 처리하기 전에 IDN을 퓨니코드 형식으로 변환합니다.
IDN 변환기를 사용하여 IDN의 퓨니코드 표현을 만들 수 있습니다.
레이블당 1~63자(영문 기준) 글자 수 제한은 퓨니코드 형식으로 변환한 후 IDN에 적용됩니다.
정규화된 도메인 이름 (FQDN)의 인코딩된 길이는 255바이트 (옥텟)를 초과할 수 없습니다.
Cloud NGFW는 동일한 방화벽 규칙에서 동일한 도메인 이름을 지원하지 않습니다. 예를 들어 두 도메인 이름 (또는 IDN의 Punycode 표현)이 최대 터미널 점 (.)만큼 다른 경우 Cloud NGFW는 이를 동일한 것으로 간주합니다.