À propos des Stratégies par Nom de Domaine (FQDN)

Vous pouvez utiliser des Noms de Domaine Complet (FQDN) dans vos configurations de stratégie Firebox. Si vous utilisez des FQDN dans la configuration, vous devez également configurer le DNS sur le Firebox de manière à ce que ce dernier puisse résoudre les noms des domaines. Pour plus d'informations, consultez DNS Configuration.

Vous pouvez utiliser des noms de domaine dans vos stratégies pour contrôler le trafic en fonction des domaines. Par exemple :

La prise en charge d'un nom de domaine vous permet de :

Les noms d'hôte FQDN définis dans le champ « De » d'une stratégie ne sont pas résolus en temps réel et sont destinés aux noms d'hôte non dynamiques tels que les noms d'hôte internes qui changent rarement. Les FDQN ne sont pas activement résolus à moins qu'un autre périphérique ou système de votre réseau ne résolve le nom d'hôte et que l'adresse IP correspondante soit mise à jour dans la base de données des mappages FQDN. Dans ces cas, nous vous conseillons d'utiliser plutôt un alias. Pour plus d'informations, consultez About Aliases.

Vous pouvez utiliser un nom de domaine spécifique (hote.exemple.com) ou un nom de domaine générique (*.exemple.com). Par exemple, le domaine générique *.exemple.com inclut :

Les noms de domaine génériques doivent comprendre au moins deux balises de domaine, par exemple *.exemple.com. Les noms de domaine génériques qui ne comprennent que le domaine de niveau supérieur tels que *.com ne sont pas pris en charge.

Vous pouvez également utiliser des caractères génériques pour les sous-domaines, par exemple :

Les caractères génériques des sous-domaines multiniveaux des FQDN sont uniquement pris en charge dans Fireware v12.2 et les versions ultérieures.

Ces entrées génériques ne sont pas prises en charge :

Résolution du Nom de Domaine

Lorsque vous définissez un nom de domaine dans votre configuration, votre Firebox effectue une résolution DNS sur le domaine spécifié et enregistre les mappages de l'adresse IP. Pour les domaines génériques, tels que *.exemple.com, le périphérique réalise la résolution DNS sur exemple.com et www.exemple.com.

Pour résoudre les sous-domaines de *.exemple.com, le Firebox analyse les réponses DNS correspondant à la configuration de votre nom de domaine. Lorsque du trafic DNS transite par le Firebox, ce dernier enregistre les réponses de mappage d'adresses IP aux requêtes concernées. Seuls les enregistrements A et CNAME sont utilisés. Tous les autres enregistrements sont ignorés.

Limitations

Notez ces limitations lorsque vous utilisez des noms de domaine :

Le Firebox conserve les entrées DNS des FQDN pendant la durée spécifiée par la valeur TTL (Durée de Vie) fournie par le serveur DNS.

À prendre en compte lors des Configurations

Lorsque vous configurez les noms de domaine, vous devrez prendre les points suivants en considération :

Configuration DNS

Le Firebox utilise un serveur DNS de manière à résoudre chaque nom de domaine sous forme d'adresse IP. Pour utiliser des FQDN, vous devez configurer un serveur DNS dans les paramètres réseau de votre Firebox ou configurer son interface externe de manière à utiliser DHCP ou PPPoE afin d'obtenir une configuration DNS. Nous vous recommandons d'utiliser le même serveur DNS sur vos clients et votre périphérique Firebox. Si le client contient des mappages d'adresses IP et de domaines différents du Firebox, le trafic ne correspondra pas à la bonne stratégie et sera peut-être autorisé par une autre stratégie ou rejeté si aucune stratégie n'est correspond.

Si les clients cherchent à atteindre une destination interne avec un serveur DNS interne, le périphérique Firebox peut ne pas avoir l'occasion d'analyser ce trafic pour les serveurs locaux. Si vous utilisez un serveur DNS interne, nous recommandons de situer le serveur DNS sur un réseau interne différent de vos clients afin que le Firebox puisse voir et analyser les réponses du serveur DNS.

Sous Fireware v11.12.2 et les versions antérieures, Policy Manager ne vous permet pas d'enregistrer une configuration sur le Firebox si elle comprend des FQDN et que le DNS n'a pas été configuré. Sous Fireware v11.12.2 et les versions ultérieures, Policy Manager vous avertit si le DNS n'a pas été configuré tout en vous autorisant à enregistrer la configuration sur le Firebox.

La configuration et la gestion des noms de domaine dépendent de la topologie actuelle de votre réseau et de l'emplacement de votre serveur DNS, comme indiqué dans les sections suivantes.

DNS Interne sur le Réseau Local

Si les clients et votre périphérique Firebox utilisent un serveur DNS interne sur la même zone du réseau :

DNS Interne sur un Réseau Différent

Si les clients utilisent un serveur DNS interne local situé dans une autre zone réseau (par exemple sur un réseau différent de celui du Firebox) :

DNS externe

Si les clients et votre périphérique Firebox utilisent un serveur DNS externe :

Journaux et Rapports

Vous pouvez visualiser la résolution et les actions du nom de domaine dans les messages de journal et rapports de la même manière que pour les autres adresses IP et hôtes.

Si vous utilisez un domaine générique, il sera affiché comme tel dans les messages de journal : *.exemple.com. Le sous-domaine spécifique qui a déclenché l'action n'est pas affiché.

Voir Également

À propos de la page des stratégies de pare-feu

Add Policies to Your Configuration

About Policy Manager

About DNS on the Firebox