À propos des Stratégies par Nom de Domaine (FQDN)

Vous pouvez utiliser des Noms de Domaine Complet (FQDN) dans vos configurations de stratégie Firebox. Si vous utilisez des FQDN dans la configuration, vous devez également configurer le DNS sur le Firebox de manière à ce que ce dernier puisse résoudre les noms des domaines. Pour plus d'informations, consultez DNS Configuration.

Vous pouvez utiliser des noms de domaine dans vos stratégies pour contrôler le trafic en fonction des domaines. Par exemple :

• Autoriser le trafic vers les sites de mise à jour de logiciels tels que windowsupdate.microsoft.com ou les sites de mise à jour de signature antivirus, même si tout autre trafic est bloqué.
• Bloquer ou autoriser le trafic vers des domaines spécifiques.
• Bloquer le trafic vers un domaine spécifique, tout en créant une exception pour un sous-domaine.
• Utiliser le proxy HTTP pour tout le trafic Web, mais contourner le proxy pour les réseaux de diffusion de contenu tels que *.akamai.com.
• Utiliser différentes stratégies de proxy pour différents domaines. Vous pouvez, par exemple, utiliser une stratégie de proxy pour exemple.com, et une autre pour exemple2.com.

La prise en charge d'un nom de domaine vous permet de :

• Utiliser des noms de domaine en tant qu'Alias
• Utiliser des noms de domaine sur des Sites Bloqués et sur des Exceptions aux Sites Bloqués.
  
• Utiliser des noms de domaine dans les Exceptions de Quota
• Utiliser des noms de domaine dans les Exceptions de Geolocation
• Utiliser des noms de domaine dans les Champs De et À d'une Stratégie

Les noms d'hôte FQDN définis dans le champ « De » d'une stratégie ne sont pas résolus en temps réel et sont destinés aux noms d'hôte non dynamiques tels que les noms d'hôte internes qui changent rarement. Les FDQN ne sont pas activement résolus à moins qu'un autre périphérique ou système de votre réseau ne résolve le nom d'hôte et que l'adresse IP correspondante soit mise à jour dans la base de données des mappages FQDN. Dans ces cas, nous vous conseillons d'utiliser plutôt un alias. Pour plus d'informations, consultez About Aliases.

Vous pouvez utiliser un nom de domaine spécifique (hote.exemple.com) ou un nom de domaine générique (*.exemple.com). Par exemple, le domaine générique *.exemple.com inclut :

• exemple.com
• a.exemple.com
• b.exemple.com
• a.b.exemple.com

Les noms de domaine génériques doivent comprendre au moins deux balises de domaine, par exemple *.exemple.com. Les noms de domaine génériques qui ne comprennent que le domaine de niveau supérieur tels que *.com ne sont pas pris en charge.

Vous pouvez également utiliser des caractères génériques pour les sous-domaines, par exemple :

• *.b.exemple.com
• *.b.c.exemple.com
• *.b.c.d.exemple.com

Les caractères génériques des sous-domaines multiniveaux des FQDN sont uniquement pris en charge dans Fireware v12.2 et les versions ultérieures.

Ces entrées génériques ne sont pas prises en charge :

• *.net ou *.com (la liste des entrées d'adresses IP serait trop volumineuse à traiter)
• *.*.exemple.com
• exemple*.com
• *. exemple.*.com
• exemple.*.com

Résolution du Nom de Domaine

Lorsque vous définissez un nom de domaine dans votre configuration, votre Firebox effectue une résolution DNS sur le domaine spécifié et enregistre les mappages de l'adresse IP. Pour les domaines génériques, tels que *.exemple.com, le périphérique réalise la résolution DNS sur exemple.com et www.exemple.com.

Pour résoudre les sous-domaines de *.exemple.com, le Firebox analyse les réponses DNS correspondant à la configuration de votre nom de domaine. Lorsque du trafic DNS transite par le Firebox, ce dernier enregistre les réponses de mappage d'adresses IP aux requêtes concernées. Seuls les enregistrements A et CNAME sont utilisés. Tous les autres enregistrements sont ignorés.

Limitations

Notez ces limitations lorsque vous utilisez des noms de domaine :

• Le serveur DNS sanctionné utilisé pour résoudre les noms de domaine est le premier serveur DNS statique de votre configuration, ou le premier serveur DNS obtenu si votre Firebox utilise les protocoles DHCP ou PPPoE sur l'interface externe.
• Seules les adresses IPv4 sont prises en charge.
• Le nombre total de noms de domaine configurables dans Stratégies, Membres de l'alias, Sites Bloqués, Exceptions aux Sites Bloqués, Exceptions de Geolocation et Exceptions de Quota dépend de la version de Fireware et de votre modèle de périphérique.

  Fireware 12.7 et les versions ultérieures :

  • Il n'existe aucune limite quant au nombre de noms de domaine que vous pouvez configurer. Le Firebox génère un message de journal d'avertissement lorsque vous enregistrez une configuration qui dépasse 2048 ou 1024 noms de domaine, selon le modèle de Firebox :
    • Firebox M270, M370, M400, M440, M470, M500, M570, M670, M4600, M5600, T55, T55-W, T70, FireboxV et Firebox Cloud : 2 048 noms de domaine
    • Tous les autres périphériques : 1 024 noms de domaine
  Exemple de message de journal :

  • 2020-12-17 16:28:01 wgagent The number of FQDNs exceeds the recommended maximum of 2048 Debug

  Fireware 12.4 to 12.6.x:

  • Firebox M200, M270, M300, M370, M400, M440, M470, M500, M570, M670, M4600, M5600, T55, T55-W, T70, FireboxV et Firebox Cloud : jusqu'à 2 048 noms de domaine
  • Tous les autres périphériques : jusqu'à 1 024 noms de domaine

  Fireware 12.3.1 et versions antérieures :

  • Tous les périphériques : jusqu'à 1 024 noms de domaine
• Chaque domaine peut mapper jusqu'à 255 adresses IP. Les anciennes adresses IP sont abandonnées lorsque ce maximum est atteint.

Le Firebox conserve les entrées DNS des FQDN pendant la durée spécifiée par la valeur TTL (Durée de Vie) fournie par le serveur DNS.

À prendre en compte lors des Configurations

Lorsque vous configurez les noms de domaine, vous devrez prendre les points suivants en considération :

• Un nom de domaine peut correspondre à plusieurs adresses IP — Les différents serveurs DNS peuvent retourner différentes réponses d'adresse IP en fonction de la géolocalisation, du fuseau horaire, des configurations d'équilibrage de charge, et d'autres facteurs encore.
• Une adresse IP donnée peut mapper plusieurs noms de domaine — La résolution d'un domaine en adresse IP revient à disposer d'une stratégie de pare-feu configurée avec cette adresse IP. Si un autre domaine ou sous domaine est également associé à la même adresse IP, le trafic en provenance ou à destination de ce domaine correspondra également à cette stratégie. Configurer des différentes actions de trafic pour chaque domaine ou domaine générique peut créer des complications. Le mappage IP FQDN utilisé est déterminé par la priorité de traitement suivante :
  1. Exceptions aux sites bloqués
  2. Sites bloqués
  3. Stratégies (selon l'ordre des stratégies)
• Un FQDN donné peut être utilisé dans plusieurs stratégies — La configuration des stratégies évite les problèmes lorsque plusieurs correspondances FQDN surviennent dans différentes fonctionnalités de niveau paquet telles que les exceptions des sites bloqués, les sites bloqués et les stratégies. Les FQDN sont résolus en fonction de la priorité des stratégies.
• Plusieurs noms de domaine pour le même site — De nombreuses pages d'accueil de sites Web extraient des données d'autres sites Web et domaines de deuxième niveau afin d'obtenir des images et d'autres informations. Si vous bloquez l'ensemble du trafic et autorisez un domaine spécifique, vous devez également autoriser les autres domaines consultés par la page principale. Le système tente de mapper les adresses IP des domaines de deuxième niveau d'un domaine générique afin de fournir tout le contenu d'un site.

Configuration DNS

Le Firebox utilise un serveur DNS de manière à résoudre chaque nom de domaine sous forme d'adresse IP. Pour utiliser des FQDN, vous devez configurer un serveur DNS dans les paramètres réseau de votre Firebox ou configurer son interface externe de manière à utiliser DHCP ou PPPoE afin d'obtenir une configuration DNS. Nous vous recommandons d'utiliser le même serveur DNS sur vos clients et votre périphérique Firebox. Si le client contient des mappages d'adresses IP et de domaines différents du Firebox, le trafic ne correspondra pas à la bonne stratégie et sera peut-être autorisé par une autre stratégie ou rejeté si aucune stratégie n'est correspond.

Si les clients cherchent à atteindre une destination interne avec un serveur DNS interne, le périphérique Firebox peut ne pas avoir l'occasion d'analyser ce trafic pour les serveurs locaux. Si vous utilisez un serveur DNS interne, nous recommandons de situer le serveur DNS sur un réseau interne différent de vos clients afin que le Firebox puisse voir et analyser les réponses du serveur DNS.

Sous Fireware v11.12.2 et les versions antérieures, Policy Manager ne vous permet pas d'enregistrer une configuration sur le Firebox si elle comprend des FQDN et que le DNS n'a pas été configuré. Sous Fireware v11.12.2 et les versions ultérieures, Policy Manager vous avertit si le DNS n'a pas été configuré tout en vous autorisant à enregistrer la configuration sur le Firebox.

La configuration et la gestion des noms de domaine dépendent de la topologie actuelle de votre réseau et de l'emplacement de votre serveur DNS, comme indiqué dans les sections suivantes.

DNS Interne sur le Réseau Local

Si les clients et votre périphérique Firebox utilisent un serveur DNS interne sur la même zone du réseau :

• Configurez vos clients et votre Firebox pour qu'ils utilisent le serveur DNS local en tant que serveur de nom principal.
• Lorsque vous ajoutez des entrées de domaine génériques, vous devez vider le cache DNS local de vos clients et de votre serveur DNS pour vous assurer que les mappages de domaines et d'adresses IP sont bien actualisés. Cela permet de nouvelles analyses et mappages des réponses DNS par votre Firebox.
• Pour vider le cache DNS local de votre serveur DNS, voir la documentation de votre serveur DNS.
• Pour afficher et vider le cache DNS d'un client Windows, tapez ces commandes dans la ligne de commande :
• ipconfig/displaydns
• ipconfig/flushdns
• Les mappages de domaine ne sont pas sauvegardés lorsque vous redémarrez votre Firebox. Vous devez vider le cache DNS local de vos clients et de votre serveur DNS pour vous assurer que les mappages de domaines et d'adresses IP sont bien actualisés.
• Vous pouvez également enregistrer les mappages de domaine dans un fichier flash sur votre Firebox, qui peut être récupéré suite à un redémarrage. Pour enregistrer vos mappages de domaine sur un fichier flash dans le mode CLI principal, tapez : diagnose fqdn "/fqdnd/save_wildcard_domain_labels"

DNS Interne sur un Réseau Différent

Si les clients utilisent un serveur DNS interne local situé dans une autre zone réseau (par exemple sur un réseau différent de celui du Firebox) :

• Configurez vos clients et votre Firebox pour qu'ils utilisent le serveur DNS local en tant que serveur de nom principal.
• Il n'est pas nécessaire de vider le cache DNS local de vos clients ou de vos serveurs DNS lorsque vous ajoutez un domaine générique à votre configuration ou lorsque vous redémarrez votre Firebox.

DNS externe

Si les clients et votre périphérique Firebox utilisent un serveur DNS externe :

• Configurez vos clients et votre Firebox pour qu'ils utilisent le serveur DNS externe en tant que serveur de nom principal. Si votre Firebox utilise le protocole DHCP ou PPPoE sur l'interface externe pour obtenir la configuration DNS, ce serveur DNS sera utilisé.
• Il n'est pas nécessaire de vider le cache DNS local de vos clients ou de vos serveurs DNS lorsque vous ajoutez un domaine générique à votre configuration ou lorsque vous redémarrez votre Firebox.

Journaux et Rapports

Vous pouvez visualiser la résolution et les actions du nom de domaine dans les messages de journal et rapports de la même manière que pour les autres adresses IP et hôtes.

Si vous utilisez un domaine générique, il sera affiché comme tel dans les messages de journal : *.exemple.com. Le sous-domaine spécifique qui a déclenché l'action n'est pas affiché.

Voir Également

À propos de la page des stratégies de pare-feu

Add Policies to Your Configuration

About Policy Manager

About DNS on the Firebox