Temas Relacionados
Acerca de las Políticas por Nombre de Dominio (FQDN)
Puede utilizar los Nombres de Dominio Totalmente Calificados (FQDN) en las configuraciones de política de Firebox. Si usa FQDNs en la configuración, también debe configurar DNS en el Firebox para que éste resuelva los nombres de dominio. Para obtener más información, consulte Configuración del DNS.
Con la ayuda del nombre de dominio, puede:
- Usar nombres de dominio en los campos Desde y A de una Política
- Usar los nombres de dominio como miembros de Alias
- Usar los nombres de dominio en Sitios Bloqueados y en Excepciones de Sitios Bloqueados
- Usar nombres de dominio en Excepciones de la Cuota
- Usar nombres de dominio en Excepciones de Geolocalización
Puede usar un nombre de dominio específico (host.ejemplo.com) o un nombre de dominio comodín (*.ejemplo.com). Por ejemplo, el dominio comodín *.ejemplo.com incluiría:
- a.ejemplo.com
- b.ejemplo.com
- a.b.ejemplo.com
También puede usar comodines de subdominio, por ejemplo:
- *.b.ejemplo.com
- *.b.c.ejemplo.com
- *.b.c.d.ejemplo.com
Los comodines de subdominio multinivel en FQDN solo son compatibles en Fireware v12.2 y posterior.
No se admiten estas entradas tipo comodín:
- *.net o *.com (la lista de entradas de direcciones IP sería demasiado grande para procesarla)
- *.*.ejemplo.com
- ejemplo*.com
- *. ejemplo.*.com
- ejemplo.*.com
Con la ayuda del nombre de dominio, puede ajustar una amplia variedad de configuraciones de política. Por ejemplo:
- Permitir el tráfico a sitios de actualización de software como windowsupdate.microsoft.com o a sitios de actualización de la firma del antivirus, aun cuando el resto del tráfico esté bloqueado.
- Bloquear o permitir tráfico a dominios específicos.
- Bloquear tráfico a un dominio específico, pero crear una excepción para un subdominio.
- Usar el proxy HTTP para todo el tráfico web, pero con un bypass del proxy para las redes de entrega de contenido como *.akamai.com.
- Usar diferentes políticas de proxy para dominios diferentes. Por ejemplo, puede utilizar una política de proxy para ejemplo.com, y usar una política de proxy diferente para ejemplo2.com.
Resolución del Nombre de Dominio
Cuando define un nombre de dominio en su configuración, el Firebox realiza la resolución de DNS hacia adelante para el dominio especificado y almacena los mapeos de dirección IP. Para los dominios comodín como *.ejemplo.com, el dispositivo realiza la resolución del DNS hacia adelante en ejemplo.com y www.ejemplo.com.
Para resolver los subdominios implicados en *.ejemplo.com, el Firebox analiza las respuestas de DNS que coinciden con su configuración de nombre de dominio. A medida que el tráfico de DNS pasa a través del Firebox, almacena las respuestas de mapeo de dirección IP en consultas relevantes. Sólo se utilizan registros A y CNAME. Todos los demás registros se ignoran.
Limitaciones
Tenga en cuenta estas limitaciones cuando utilice nombres de dominio:
- El servidor DNS sancionado que se usa para resolver los nombres de dominio es el primer servidor DNS estático en su configuración, o el primer servidor DNS que se obtiene si Firebox utiliza DHCP o PPPoE en la interfaz externa.
- Solamente se admiten direcciones IPv4.
- Puede configurar hasta 1024 nombres de dominio en total, incluidas Políticas, miembros de Alias, Sitios Bloqueados, Excepciones de Sitios Bloqueados y Excepciones de Cuota.
- Cada dominio puede mapear hasta 255 direcciones IP. Se abandonan las direcciones IP más antiguas cuando se alcanza el máximo.
Consideraciones de Configuración
Al configurar los nombres de dominio, tenga en cuenta las siguientes consideraciones:
- Un nombre de dominio puede corresponder a múltiples direcciones IP — Es posible que diferentes servidores DNS puedan devolver diferentes respuestas de direcciones IP en base a la ubicación geográfica, la zona horaria, las configuraciones de balance de carga en el servidor, entre otros factores.
- Una dirección IP específica puede mapear varios nombres de dominio — Cuando se resuelve un dominio en una dirección IP, es equivalente a una política de firewall con esa dirección IP específica en la política. Si otro dominio o subdominio también resuelve la misma dirección IP, el tráfico hacia o desde ese dominio también coincidirá con esta política. Esto puede crear complicaciones si configura diferentes acciones de tráfico para cada dominio o dominio comodín. El mapeo de IP de FQDN utilizada está determinada por la prioridad de procesamiento:
- Excepciones de sitio bloqueados
- Sitios bloqueados
- Políticas (basado en el orden de las políticas)
- El mismo FQDN se puede usar en más de una política — La configuración de la política evita problemas de múltiples coincidencias de FQDN en diferentes funciones de nivel de paquete, como las excepciones de sitios bloqueados, los sitios bloqueados y las políticas. Los FQDN se resuelven por la prioridad de la política.
- Nombres de dominio múltiples para el mismo sitio — Muchas páginas principales de sitio web toman datos de otros sitios web y dominios de segundo nivel para obtener imágenes y otra información. Si bloquea todo el tráfico y permite un dominio específico, también debe permitir cualquier dominio adicional que sea llamado por la página. El Firebox intentará mapear las direcciones IP de los dominios de segundo nivel para que un dominio comodín proporcione el contenido completo para un sitio.
Configuración del DNS
El Firebox usa un DNS server (servidor DNS) para resolver cada nombre de dominio a una dirección IP. Para utilizar FQDNs, debe configurar un DNS server (servidor DNS) en la configuración de red del Firebox, o configurar la interfaz externa para usar DHCP o PPPoE y obtener una configuración de DNS. Le recomendamos que los clientes y el Firebox usen el mismo servidor DNS. Si el cliente contiene mapeos de IP y de dominio diferentes de los del Firebox, el tráfico no coincidirá con la política correcta y podría ser permitido por una política diferente, o abandonado si no coincide con ninguna política.
Si los clientes intentan alcanzar un destino interno en un servidor DNS interno, el Firebox podría no tener oportunidad de analizar este tráfico para los servidores locales. Le recomendamos que si utiliza un servidor DNS interno, esté ubicado en una red interna diferente de la de los clientes de modo que el Firebox pueda ver y analizar las respuestas del servidor DNS.
En el caso de las versiones de Fireware anteriores a v11.12.2, Policy Manager no le permite guardar una configuración al Firebox si ésta incluye FQDNs y el DNS no está configurado. En el caso de Fireware v11.12.2 y posterior, Policy Manager le advierte si el DNS no está configurado, pero le permite guardar la configuración al Firebox.
La configuración y administración del nombre de dominio se ve afectado por su topología actual de red y la ubicación de su servidor DNS, como se describe en las siguientes secciones.
DNS Interno en Red Local
Si los clientes y el Firebox utilizan un servidor DNS interno en la misma zona de red:
- Configure a los clientes y al Firebox para que usen el servidor DNS local como servidor de nombres primario.
- Cuando agrega entradas de dominio tipo comodín, debe limpiar la caché local del DNS de sus clientes y de su servidor DNS para asegurarse de que se actualicen los mapeos de IP/dominio. Esto permite que el Firebox realice un nuevo análisis y nuevos mapeos de respuestas de DNS.
- Para limpiar la caché de DNS local con un servidor DNS, consulte la documentación del servidor DNS.
- Para mostrar y limpiar la caché de DNS con un cliente de Windows, ingrese estos comandos desde la línea de comandos:
- ipconfig /displaydns
- ipconfig /flushdns
- Los mapeos de dominio no se guardan cuando reinicia el Firebox. Debe limpiar la caché de DNS local de los clientes y del servidor DNS para asegurarse de que se actualicen los mapeos de IP/dominio.
- De forma alternativa, puede guardar los mapeos de dominio del Firebox en un archivo flash que se pueda recuperar después de un reinicio. Para guardar los mapeos de dominio en un archivo flash, desde el modo principal de CLI, ingrese: diagnose fqdn "/fqdnd/save_wildcard_domain_labels"
DNS Interno en una Red Diferente
Si los clientes utilizan un servidor DNS local interno en una zona diferente de la red (por ejemplo, en una red separada fuera del Firebox):
- Configure a los clientes y al Firebox para que usen el servidor DNS local como servidor de nombres primario.
- No necesita limpiar la caché de DNS local de los clientes o del servidor DNS cuando agrega un dominio comodín a la configuración o cuando reinicia el Firebox.
DNS Externo
Si los clientes y el Firebox utilizan un servidor DNS externo:
- Configure a los clientes y el Firebox para que usen el servidor DNS externo como servidor de nombres primario. Si el Firebox utiliza DHCP o PPPoE en la interfaz externa para obtener la configuración de DNS, ese es el servidor DNS que se utilizará.
- No necesita limpiar la caché de DNS local de los clientes o del servidor DNS cuando agrega un dominio comodín a la configuración o cuando reinicia el Firebox.
Registros e Informes
Puede ver la resolución y las acciones de nombre de dominio en los mensajes e informes de registro del mismo modo que con cualquier otra dirección IP y hosts.
Si utiliza un dominio comodín, aparece como comodín en los mensajes de registro, por ejemplo *.ejemplo.com. El subdominio específico que disparó la acción no se muestra.
Ver también
Acerca de la página Políticas de firewall