Visão geral dos objetos de nome de domínio totalmente qualificado

Os objetos de nome de domínio totalmente qualificado (FQDN) contêm nomes de domínio especificados no formato de nome de domínio. É possível usar objetos FQDN como origens para regras de entrada ou como destinos para regras de saída em uma política hierárquica de firewall, uma política de firewall de rede global ou uma política de firewall de rede regional.

É possível combinar FQDNs com outros parâmetros. Para detalhes sobre combinações de parâmetros de origem em regras de entrada, consulte Origens para regras de entrada. Para detalhes sobre combinações de parâmetros de destino em regras de saída, consulte Destinos para regras de saída.

Os objetos FQDN são compatíveis com políticas de resposta do Cloud DNS, zonas privadas gerenciadas no escopo da rede VPC, nomes DNS internos do Compute Engine e zonas DNS públicas. Essa compatibilidade se aplica desde que a rede de nuvem privada virtual (VPC) não tenha uma política de servidor de saída que especifique um servidor de nomes alternativo. Para mais informações, consulte Ordem de resolução de rede VPC.

Mapear objetos FQDN para endereços IP

O Cloud Next Generation Firewall resolve periodicamente objetos FQDN para endereços IP. O Cloud NGFW segue a ordem de resolução de nomes da VPC do Cloud DNS na rede VPC que contém os destinos da regra de firewall.

O Cloud NGFW usa o seguinte comportamento para resolução de endereços IP:

  • Suporte à pesquisa de CNAME. O Cloud NGFW usa a busca de CNAME do Cloud DNS se a resposta a uma consulta de objeto FQDN for um registro CNAME.

  • Endereços IP do programa. O Cloud NGFW usa os endereços IP resolvidos ao programar as regras de firewall que usam objetos FQDN. Cada objeto FQDN pode ser mapeado para um máximo de 32 endereços IPv4 e 32 endereços IPv6.

    Se a resposta DNS para uma consulta de objeto FQDN for resolvida em mais de 32 endereços IPv4 ou mais de 32 endereços IPv6, o Cloud NGFW vai limitar os endereços IP programados nas regras de firewall aos primeiros 32 endereços IPv4 e aos primeiros 32 endereços IPv6.

  • Ignorar objetos FQDN. Se o Cloud NGFW não conseguir resolver um objeto FQDN em um endereço IP, ele vai ignorar o objeto FQDN. Nas seguintes situações, o Cloud NGFW ignora um objeto FQDN:

    • Quando NXDOMAIN respostas são recebidas. As respostas NXDOMAIN são respostas explícitas de um servidor de nomes indicando que não há um registro DNS para a consulta de objeto FQDN.

    • Quando não há um endereço IP em uma resposta. Nessa situação, uma consulta de objeto FQDN não resulta em uma resposta com um endereço IP que o Cloud NGFW pode usar para programar uma regra de firewall.

    • Quando o servidor DNS do Cloud DNS está indisponível. O Cloud NGFW ignora objetos FQDN se um servidor DNS que fornece a resposta estiver inacessível.

    Quando um objeto FQDN é ignorado, o Cloud NGFW programa as partes restantes de uma regra de firewall, se possível.

Considerações sobre objetos FQDN

Considere o seguinte para objetos FQDN:

  1. Como os objetos FQDN são mapeados e programados como endereços IP, o Cloud NGFW usa o seguinte comportamento quando dois ou mais objetos FQDN são mapeados para o mesmo endereço IP. Suponha que você tenha as seguintes duas regras de firewall que se aplicam ao mesmo destino:

    • Regra 1: prioridade 100, entrada permitida do FQDN de origem example1.com
    • Regra 2: prioridade 200, permissão de entrada do FQDN de origem example2.com

    Se example1.com e example2.com forem resolvidos para o mesmo endereço IP, os pacotes de entrada de example1.com e example2.com vão corresponder à primeira regra de firewall porque ela tem uma prioridade maior.

  2. As considerações para usar objetos FQDN incluem o seguinte:

    • Uma consulta DNS pode ter respostas únicas com base no local do cliente solicitante.

    • As respostas de DNS podem variar muito quando um sistema de balanceamento de carga baseado em DNS está envolvido.

    • Uma resposta de DNS pode conter mais de 32 endereços IPv4.

    • Uma resposta DNS pode conter mais de 32 endereços IPv6.

    Nas situações anteriores, como o Cloud NGFW realiza consultas de DNS em cada região que contém a interface de rede da VM a que a regra de firewall se aplica, os endereços IP programados nas regras de firewall não contêm todos os endereços IP possíveis associados ao FQDN.

    A maioria dos nomes de domínio do Google, como googleapis.com, está sujeita a uma ou mais dessas situações. Use endereços IP ou grupos de endereços.

  3. Evite usar objetos FQDN com registros A do DNS que tenham um time to live (TTL) de menos de 90 segundos.

Formatar nomes de domínio

Os objetos FQDN precisam seguir o formato padrão de FQDN. Esse formato é definido nas RFCs 1035, 1123 e 4343. O Cloud NGFW rejeita objetos FQDN que incluem um nome de domínio que não atende a todas as regras de formatação a seguir:

  • Cada objeto FQDN precisa ser um nome de domínio com pelo menos dois rótulos:

    • Cada rótulo precisa corresponder a uma expressão regular que inclua apenas estes caracteres: [a-z]([-a-z0-9][a-z0-9])?..
    • Cada rótulo precisa ter de 1 a 63 caracteres.
    • Os rótulos precisam ser concatenados com um ponto (.).

    Por isso, os objetos FQDN não são compatíveis com caracteres curinga (*) nem com nomes de domínio de nível superior (ou raiz), como *.example.com. e .org, porque incluem apenas um rótulo.

  • Os objetos FQDN são compatíveis com Nomes de domínio internacionalizados (IDNs). Você pode fornecer um IDN no formato Unicode ou Punycode. Considere o seguinte:

    • Se você especificar um IDN no formato Unicode, o Cloud NGFW o converterá para o formato Punycode antes do processamento.

    • Você pode usar o conversor de IDN para criar a representação em Punycode de um IDN.

    • O limite de caracteres de 1 a 63 por rótulo é aplicável aos IDNs após a conversão para o formato Punycode.

  • O tamanho codificado de um nome de domínio totalmente qualificado (FQDN) não pode exceder 255 bytes (octetos).

O Cloud NGFW não oferece suporte a nomes de domínio equivalentes na mesma regra de firewall. Por exemplo, se os dois nomes de domínio (ou representações Punycode de IDNs) forem diferentes por um ponto final (.), o Cloud NGFW os considerará equivalentes.

A seguir