Acerca de las Políticas por Nombre de Dominio (FQDN)
Puede utilizar los Nombres de Dominio Totalmente Calificados (FQDN) en las configuraciones de política de Firebox. Si usa FQDNs en la configuración, también debe configurar DNS en el Firebox para que éste resuelva los nombres de dominio. Para más información, consulte Configuración del DNS.
Puede usar nombres de dominio en sus políticas para controlar el tráfico basado en el dominio. Por ejemplo:
- Permitir el tráfico a sitios de actualización de software como windowsupdate.microsoft.com o a sitios de actualización de la firma del antivirus, aun cuando el resto del tráfico esté bloqueado.
- Bloquear o permitir tráfico a dominios específicos.
- Bloquear tráfico a un dominio específico, pero crear una excepción para un subdominio.
- Usar el proxy HTTP para todo el tráfico web, pero con un bypass del proxy para las redes de entrega de contenido como *.akamai.com.
- Usar diferentes políticas de proxy para dominios diferentes. Por ejemplo, puede utilizar una política de proxy para ejemplo.com, y usar una política de proxy diferente para ejemplo2.com.
Con la ayuda del nombre de dominio, puede:
- Usar los nombres de dominio como miembros de Alias
- Usar los nombres de dominio en Sitios Bloqueados y en Excepciones de Sitios Bloqueados.
- Usar nombres de dominio en Excepciones de la Cuota
- Usar nombres de dominio en Excepciones de Geolocalización
- Usar nombres de dominio en los campos Desde y A de una Política
Los nombres de host FQDN definidos en el campo Desde de una política, no se resuelven en tiempo real y están destinados a nombres de host no dinámicos, como nombres de host internos que rara vez cambian. Los FQDN no se resuelven en la actividad a menos que otro dispositivo o sistema en su red resuelva el nombre del host, y la dirección IP correspondiente se actualice en la base de datos de asignaciones FQDN. En estos casos, le recomendamos que en su lugar utilice un alias. Para más información, consulte Acerca de los Alias.
Puede usar un nombre de dominio específico (host.ejemplo.com) o un nombre de dominio comodín (*.ejemplo.com). Por ejemplo, el dominio con comodín *.example.com incluye lo siguiente:
- example.com
- a.ejemplo.com
- b.ejemplo.com
- a.b.example.com
Los nombres de dominio comodín deben incluir al menos dos etiquetas de dominio, por ejemplo *.ejemplo.com. Los nombres de dominio comodín que incluyen solo el dominio de nivel superior, como *.com, no son compatibles.
También puede usar comodines de subdominio, por ejemplo:
- *.b.ejemplo.com
- *.b.c.ejemplo.com
- *.b.c.d.example.com
Los comodines de subdominio multinivel en FQDN solo son compatibles en Fireware v12.2 y superior.
No se admiten estas entradas tipo comodín:
- *.net o *.com (la lista de entradas de direcciones IP sería demasiado grande para procesarla)
- *.*.ejemplo.com
- ejemplo*.com
- *. ejemplo.*.com
- ejemplo.*.com
Resolución del Nombre de Dominio
Cuando define un nombre de dominio en su configuración, el Firebox realiza la resolución de DNS hacia adelante para el dominio especificado y almacena los mapeos de dirección IP. Para los dominios comodín como *.ejemplo.com, el dispositivo realiza la resolución del DNS hacia adelante en ejemplo.com y www.ejemplo.com.
Para resolver los subdominios implicados en *.ejemplo.com, el Firebox analiza las respuestas de DNS que coinciden con su configuración de nombre de dominio. A medida que el tráfico DNS pasa a través del Firebox, el Firebox almacena las respuestas de mapeo de direcciones IP en consultas relevantes. Solo se utilizan registros A y CNAME. Todos los demás registros se ignoran.
Limitaciones
Tenga en cuenta estas limitaciones cuando utilice nombres de dominio:
- El servidor DNS sancionado que se usa para resolver los nombres de dominio es el primer servidor DNS estático en su configuración, o el primer servidor DNS que se obtiene si Firebox utiliza DHCP o PPPoE en la interfaz externa.
- Solamente se admiten direcciones IPv4.
- El número total de nombres de dominio que puede configurar en Políticas, Miembros de Alias, Sitios Bloqueados, Excepciones de Sitios Bloqueados, Excepciones de Geolocalización y Excepciones de Cuota, depende de la versión de Fireware y el modelo de su dispositivo.
Fireware v12.7 y superior:
- No existe límite para la cantidad de nombres de dominio que puede configurar. El Firebox genera un mensaje de registro de advertencia cuando guarda una configuración que excede los 2048 o 1024 nombres de dominio, según el modelo del Firebox:
- Firebox M270, M370, M400, M440, M470, M500, M570, M670, M4600, M5600, T55, T55-W, T70, FireboxV, y Firebox Cloud: 2048 nombres de dominio
- Todos los otros dispositivos: 1024 nombres de dominio
- Ejemplo de mensaje de registro:
2020-12-17 16:28:01 wgagent The number of FQDNs exceeds the recommended maximum of 2048 Debug
Fireware 12.4 to 12.6.x:
- Firebox M200, M270, M300, M370, M400, M440, M470, M500, M570, M670, M4600, M5600, T55, T55-W, T70, FireboxV y Firebox Cloud: Hasta 2048 nombres de dominio
- Todos los otros dispositivos: Hasta 1024 nombres de dominio
Fireware 12.3.1 e inferior:
- Todos los dispositivos: Hasta 1024 nombres de dominio
- No existe límite para la cantidad de nombres de dominio que puede configurar. El Firebox genera un mensaje de registro de advertencia cuando guarda una configuración que excede los 2048 o 1024 nombres de dominio, según el modelo del Firebox:
- Cada dominio puede mapear hasta 255 direcciones IP. Se abandonan las direcciones IP más antiguas cuando se alcanza el máximo.
Firebox retiene las entradas DNS para FQDN durante el tiempo especificado por el valor TTL (Tiempo De Vida) proporcionado por el servidor DNS.
Consideraciones de Configuración
Al configurar los nombres de dominio, tenga en cuenta las siguientes consideraciones:
- Un nombre de dominio puede corresponder a múltiples direcciones IP — Es posible que diferentes servidores DNS puedan devolver diferentes respuestas de direcciones IP en base a la ubicación geográfica, la zona horaria, las configuraciones de balance de carga en el servidor, entre otros factores.
- Una dirección IP específica puede mapear varios nombres de dominio — Cuando se resuelve un dominio en una dirección IP, es equivalente a una política de firewall con esa dirección IP específica en la política. Si otro dominio o subdominio también resuelve la misma dirección IP, el tráfico hacia o desde ese dominio también coincidirá con esta política. Esto puede crear complicaciones si configura diferentes acciones de tráfico para cada dominio o dominio comodín. El mapeo de IP de FQDN utilizado está determinado por la prioridad de procesamiento:
- Excepciones de sitio bloqueados
- Sitios bloqueados
- Políticas (basado en el orden de las políticas)
- El mismo FQDN se puede usar en más de una política — La configuración de la política evita problemas de múltiples coincidencias de FQDN en diferentes funciones de nivel de paquete, como las excepciones de sitios bloqueados, los sitios bloqueados y las políticas. Los FQDN se resuelven por la prioridad de la política.
- Nombres de dominio múltiples para el mismo sitio — Muchas páginas principales de sitio web toman datos de otros sitios web y dominios de segundo nivel para obtener imágenes y otra información. Si bloquea todo el tráfico y permite un dominio específico, también debe permitir cualquier dominio adicional que sea llamado por la página. El Firebox intentará mapear las direcciones IP de los dominios de segundo nivel para que un dominio comodín proporcione el contenido completo para un sitio.
Configuración del DNS
El Firebox usa un DNS server (servidor DNS) para resolver cada nombre de dominio a una dirección IP. Para utilizar FQDNs, debe configurar un DNS server (servidor DNS) en la configuración de red del Firebox, o configurar la interfaz externa para usar DHCP o PPPoE y obtener una configuración de DNS. Le recomendamos que los clientes y el Firebox usen el mismo servidor DNS. Si el cliente contiene mapeos de IP y de dominio diferentes de los del Firebox, el tráfico no coincidirá con la política correcta y podría ser permitido por una política diferente, o abandonado si no coincide con ninguna política.
Si los clientes intentan alcanzar un destino interno en un servidor DNS interno, el Firebox podría no tener oportunidad de analizar este tráfico para los servidores locales. Le recomendamos que, si utiliza un servidor DNS interno, esté ubicado en una red interna diferente de la de los clientes; de modo que el Firebox pueda ver y analizar las respuestas del servidor DNS.
En el caso de las versiones de Fireware inferiores a v11.12.2, Policy Manager no le permite guardar una configuración al Firebox si ésta incluye FQDNs y el DNS no está configurado. En el caso de Fireware v11.12.2 y superior, Policy Manager le advierte si el DNS no está configurado, pero le permite guardar la configuración al Firebox.
La configuración y administración del nombre de dominio se ve afectado por su topología actual de red y la ubicación de su servidor DNS, como se describe en las siguientes secciones.
DNS Interno en Red Local
Si los clientes y el Firebox utilizan un servidor DNS interno en la misma zona de red:
- Configure a los clientes y al Firebox para que usen el servidor DNS local como servidor de nombres primario.
- Cuando agrega entradas de dominio tipo comodín, debe limpiar la caché local del DNS de sus clientes y de su servidor DNS para asegurarse de que se actualicen los mapeos de IP/dominio. Esto permite que el Firebox realice un nuevo análisis y nuevos mapeos de respuestas de DNS.
- Para limpiar la caché de DNS local con un servidor DNS, consulte la documentación del servidor DNS.
- Para mostrar y limpiar la caché de DNS con un cliente de Windows, ingrese estos comandos desde la línea de comandos:
- ipconfig /displaydns
- ipconfig /flushdns
- Los mapeos de dominio no se guardan cuando reinicia el Firebox. Debe limpiar la caché de DNS local de los clientes y del servidor DNS para asegurarse de que se actualicen los mapeos de IP/dominio.
- De forma alternativa, puede guardar los mapeos de dominio del Firebox en un archivo flash que se pueda recuperar después de un reinicio. Para guardar los mapeos de dominio en un archivo flash, desde el modo principal de CLI, ingrese: diagnose fqdn "/fqdnd/save_wildcard_domain_labels"
DNS Interno en una Red Diferente
Si los clientes utilizan un servidor DNS local interno en una zona diferente de la red (por ejemplo, en una red separada fuera del Firebox):
- Configure a los clientes y al Firebox para que usen el servidor DNS local como servidor de nombres primario.
- No necesita limpiar la caché de DNS local de los clientes o del servidor DNS cuando agrega un dominio comodín a la configuración o cuando reinicia el Firebox.
DNS Externo
Si los clientes y el Firebox utilizan un servidor DNS externo:
- Configure a los clientes y el Firebox para que usen el servidor DNS externo como servidor de nombres primario. Si el Firebox utiliza DHCP o PPPoE en la interfaz externa para obtener la configuración de DNS, ese es el servidor DNS que se utilizará.
- No necesita limpiar la caché de DNS local de los clientes o del servidor DNS cuando agrega un dominio comodín a la configuración o cuando reinicia el Firebox.
Registros e Informes
Puede ver la resolución y las acciones de nombre de dominio en los mensajes e informes de registro del mismo modo que con cualquier otra dirección IP y hosts.
Si utiliza un dominio comodín, aparece como comodín en los mensajes de registro, por ejemplo *.ejemplo.com. El subdominio específico que disparó la acción no se muestra.
Ver También
Acerca de la página Políticas de firewall