完整網域名稱物件總覽

完整網域名稱 (FQDN) 物件包含您以網域名稱格式指定的網域名稱。您可以在階層式防火牆政策、全域網路防火牆政策或區域網路防火牆政策中,使用 FQDN 物件做為輸入規則的來源,或輸出規則的目的地。

您可以將 FQDN 與其他參數合併使用。如要進一步瞭解輸入規則中的來源參數組合,請參閱「輸入規則的來源」。如要進一步瞭解輸出規則中的目的地參數組合,請參閱「輸出規則目的地」。

FQDN 物件支援 Cloud DNS 回應政策VPC 網路範圍的代管私人區域Compute Engine 內部 DNS 名稱和公開 DNS 區域。只要虛擬私有雲 (VPC) 網路沒有指定「替代名稱伺服器」的「傳出伺服器政策」,就適用這項支援。詳情請參閱「虛擬私有雲網路解析順序」。

將 FQDN 物件對應至 IP 位址

Cloud Next Generation Firewall 會定期將 FQDN 物件解析為 IP 位址。在含有防火牆規則目標的 VPC 網路中,Cloud NGFW 會遵循 Cloud DNS VPC 名稱解析順序

Cloud NGFW 會使用下列行為進行 IP 位址解析:

  • 支援 CNAME 追蹤。如果 FQDN 物件查詢的回覆是 CNAME 記錄,Cloud NGFW 會使用 Cloud DNS CNAME 追蹤

  • 計畫 IP 位址。Cloud NGFW 會在程式設計使用 FQDN 物件的防火牆規則時,使用已解析的 IP 位址。每個 FQDN 物件最多可對應 32 個 IPv4 位址和 32 個 IPv6 位址。

    如果 FQDN 物件查詢的 DNS 回應解析為超過 32 個 IPv4 位址或超過 32 個 IPv6 位址,Cloud NGFW 會將防火牆規則中程式設計的 IP 位址限制為前 32 個 IPv4 位址和前 32 個 IPv6 位址。

  • 忽略 FQDN 物件。如果 Cloud NGFW 無法將 FQDN 物件解析為 IP 位址,系統會忽略該 FQDN 物件。在下列情況中,Cloud NGFW 會忽略 FQDN 物件:

    • 收到 NXDOMAIN 則回覆時。NXDOMAIN 回答是來自名稱伺服器的明確回答,表示 FQDN 物件查詢沒有 DNS 記錄。

    • 答案中沒有 IP 位址。在這種情況下,FQDN 物件查詢不會產生 IP 位址,因此 Cloud NGFW 無法用來設定防火牆規則。

    • 無法連線至 Cloud DNS 伺服器。如果提供答案的 DNS 伺服器無法連線,Cloud NGFW 會忽略 FQDN 物件。

    如果系統忽略 FQDN 物件,Cloud NGFW 會盡可能設定防火牆規則的其餘部分。

FQDN 物件的注意事項

FQDN 物件的注意事項:

  1. 由於 FQDN 物件會對應至 IP 位址並以 IP 位址的形式進行程式設計,因此當兩個以上的 FQDN 物件對應至相同 IP 位址時,Cloud NGFW 會採用下列行為。假設您有下列兩個防火牆規則,且適用於相同目標:

    • 規則 1:優先順序 100,允許從來源 FQDN example1.com 傳入流量
    • 規則 2:優先順序 200,允許從來源 FQDN example2.com 傳入流量

    如果 example1.comexample2.com 都解析為相同的 IP 位址,來自 example1.comexample2.com 的連入封包會比對第一個防火牆規則,因為這個規則的優先順序較高。

  2. 使用 FQDN 物件時,請注意下列事項:

    • DNS 查詢可根據要求用戶端的位置提供專屬答案。

    • 如果涉及 DNS 型負載平衡系統,DNS 回覆可能會大幅變動。

    • DNS 答案可能包含超過 32 個 IPv4 位址。

    • DNS 答案可能包含超過 32 個 IPv6 位址。

    在上述情況中,由於 Cloud NGFW 會在包含防火牆規則適用 VM 網路介面的每個區域中執行 DNS 查詢,因此防火牆規則中程式設計的 IP 位址不會包含與 FQDN 相關聯的所有可能 IP 位址。

    大多數 Google 網域名稱 (例如 googleapis.com) 都適用於上述一或多種情況。請改用 IP 位址或位址群組

  3. 請避免將 FQDN 物件與存留時間 (TTL) 不到 90 秒的 DNS A 記錄搭配使用。

網域名稱格式

FQDN 物件必須採用標準 FQDN 格式。 此格式定義於 RFC 1035RFC 1123RFC 4343。如果網域名稱不符合下列所有格式規則,Cloud NGFW 會拒絕包含該網域名稱的 FQDN 物件:

  • 每個 FQDN 物件都必須是網域名稱,且至少要有兩個標籤:

    • 每個標籤都必須符合規則運算式,且只能包含以下字元:[a-z]([-a-z0-9][a-z0-9])?.
    • 每個標籤的長度必須介於 1 到 63 個字元之間。
    • 標籤必須以半形句號 (.) 串連。

    因此,FQDN 物件不支援萬用字元 (*) 或頂層 (或根) 網域名稱,例如 *.example.com..org,因為這些只包含單一標籤。

  • 完整網域名稱 (FQDN) 物件支援國際化網域名稱 (IDN)。您可以提供 Unicode 或 Punycode 格式的 IDN。請考量下列事項:

    • 如果您以 Unicode 格式指定 IDN,Cloud NGFW 會先將其轉換為 Punycode 格式,再進行處理。

    • 您可以使用 IDN 轉換工具建立 IDN 的 Punycode 表示法。

    • 每個標籤的字元限制為 1 至 63 個,適用於轉換為 Punycode 格式後的 IDN。

  • 完整網域名稱 (FQDN) 的編碼長度不得超過 255 個位元組 (八位元)。

Cloud NGFW 不支援在同一個防火牆規則中使用等效網域名稱。舉例來說,如果兩個網域名稱 (或 IDN 的 Punycode 表示法) 最多只差一個結尾點 (.),Cloud NGFW 會將兩者視為相同。

後續步驟