À propos des Stratégies par Nom de Domaine (FQDN)

Vous pouvez utiliser des Noms de Domaine Complet (FQDN) dans vos configurations de stratégie Firebox. Si vous utilisez des FQDN dans la configuration, vous devez également configurer le DNS sur le Firebox de manière à ce que ce dernier puisse résoudre les noms des domaines. Pour plus d'informations, voir Configuration DNS.

La prise en charge d'un nom de domaine vous permet de :

• Utiliser des noms de domaine dans les Champs De et Vers d'une stratégie
• Utiliser des noms de domaine en tant que membres d'alias
• Utiliser des noms de domaine sur des Sites Bloqués et sur des Exceptions aux Sites Bloqués
• Utiliser des noms de domaine sur des exceptions de quotas

Dans Fireware v11.12.2 et les versions ultérieures, la liste des Exceptions aux Sites Bloqués comprend les FQDN par défaut des serveurs auxquels les produits et les services d'abonnement WatchGuard doivent se connecter. Pour plus d'informations, voir À propos des sites bloqués.

Vous pouvez utiliser un nom de domaine spécifique (hote.exemple.com) ou un nom de domaine générique (*.exemple.com). Par exemple, le domaine générique *.exemple.com inclut :

• a.exemple.com
• b.exemple.com
• a.b.exemple.com

Ces entrées génériques ne sont pas prises en charge :

• *.*.exemple.com
• exemple*.com
• *. exemple.*.com
• exemple.*.com

Avec la prise en charge d'un nom de domaine, vous pouvez définir une grande variété de configurations de stratégies. Par exemple :

• Autoriser le trafic vers les sites de mise à jour de logiciels tels que windowsupdate.microsoft.com ou les sites de mise à jour de signature antivirus, même si tout autre trafic est bloqué.
• Bloquer ou autoriser le trafic vers des domaines spécifiques.
• Bloquer le trafic vers un domaine spécifique, tout en créant une exception pour un sous-domaine.
• Utiliser le proxy HTTP pour tout le trafic Web, mais contourner le proxy pour les réseaux de diffusion de contenu tels que *.akamai.com.
• Utiliser différentes stratégies de proxy pour différents domaines. Vous pouvez, par exemple, utiliser une stratégie de proxy pour exemple.com, et une autre pour exemple2.com.

Résolution du Nom de Domaine

Lorsque vous définissez un nom de domaine dans votre configuration, votre Firebox réalise une résolution DNS sur le domaine spécifié et stocke les mappages de l'adresse IP. Pour les domaines génériques, tels que *.exemple.com, le périphérique réalise la résolution DNS sur exemple.com et www.exemple.com.

Pour résoudre les sous-domaines de *.exemple.com, le périphérique analyse les réponses DNS qui correspondent à la configuration de votre nom de domaine. Au fur est à mesure que le trafic DNS passe à travers le périphérique Firebox, il stocke les réponses de mappage d'adresses IP dans les requêtes pertinentes. Seuls les enregistrements A et CNAME sont utilisés. Tous les autres enregistrements sont ignorés.

Limitations

Notez ces limitations lorsque vous utilisez des noms de domaine :

• Le serveur DNS sanctionné utilisé pour résoudre les noms de domaine est le premier serveur DNS statique de votre configuration, ou le premier serveur DNS obtenu si votre Firebox utilise les protocoles DHCP ou PPPoE sur l'interface externe.
• Seules les adresses IPv4 sont prises en charge.
• Vous pouvez configurer jusqu'à 1024 noms de domaine au total, cela comprend les Stratégies, les Membres alias, les Sites Bloqués, les Exceptions de Sites Bloqués et les Exceptions de Quota.
• Chaque domaine peut mapper jusqu'à 255 adresses IP. Les anciennes adresses IP sont abandonnées lorsque ce maximum est atteint.

À prendre en compte lors des Configurations

Lorsque vous configurez les noms de domaine, vous devrez prendre les points suivants en considération :

• Un nom de domaine peut correspondre à plusieurs adresses IP — Les différents serveurs DNS peuvent retourner différentes réponses d'adresse IP en fonction de la géolocalisation, du fuseau horaire, des configurations d'équilibrage de charge, et d'autres facteurs encore.
• Une adresse IP spécifique peut mapper plusieurs noms de domaine— Lorsqu'un domaine est associé à une adresse IP, cela revient à avoir une stratégie de pare-feu dans la stratégie avec cette adresse IP spécifique. Si un autre domaine ou sous domaine est également associé à la même adresse IP, le trafic en provenance ou à destination de ce domaine correspondra également à cette stratégie. Configurer des différentes actions de trafic pour chaque domaine ou domaine générique peut créer des complications.
• Noms de domaine multiples pour le même site — Un grand nombre de pages principales de site Web extrait des données à partir d'autres sites Web et domaines de deuxième niveau, notamment pour les images, mais aussi pour d'autres données. Si vous bloquez tout le trafic et que vous autorisez un domaine spécifique, vous devez également autoriser tous les autres domaines appelés par la page principale. Le système tentera de mapper les adresses IP de domaines de deuxième niveau pour un domaine générique afin de proposer le contenu complet d'un site.

Configuration DNS

Le Firebox utilise un serveur DNS de manière à résoudre chaque nom de domaine sous forme d'adresse IP. Pour utiliser des FQDN, vous devez configurer un serveur DNS dans les paramètres réseau de votre Firebox ou configurer son interface externe de manière à utiliser DHCP ou PPPoE afin d'obtenir une configuration DNS. Nous vous recommandons d'utiliser le même serveur DNS sur vos clients et votre périphérique Firebox. Si le client contient des mappages d'adresses IP et de domaines différents du Firebox, le trafic ne correspondra pas à la bonne stratégie et sera peut-être autorisé par une autre stratégie ou rejeté si aucune stratégie n'est correspond.

Si les clients cherchent à atteindre une destination interne avec un serveur DNS interne, le périphérique Firebox peut ne pas avoir l'occasion d'analyser ce trafic pour les serveurs locaux. Si vous utilisez un serveur DNS interne, nous recommandons de situer le serveur DNS sur un réseau interne différent de vos clients afin que le Firebox puisse voir et analyser les réponses du serveur DNS.

Sous Fireware v11.12.2 et les versions antérieures, Policy Manager ne vous permet pas d'enregistrer une configuration sur le Firebox si elle comprend des FQDN et que le DNS n'a pas été configuré. Sous Fireware v11.12.2 et les versions ultérieures, Policy Manager vous avertit si le DNS n'a pas été configuré tout en vous autorisant à enregistrer la configuration sur le Firebox.

La configuration et la gestion du nom de domaine sont affectées par la topologie de votre réseau actuel et l'emplacement de votre serveur DNS, comme décrit ici :

DNS Interne sur le Réseau Local

Si les clients et votre périphérique Firebox utilisent un serveur DNS interne sur la même zone du réseau :

• Configurez vos clients et votre Firebox pour qu'ils utilisent le serveur DNS local en tant que serveur de nom principal.
• Lorsque vous ajoutez des entrées de domaine génériques, vous devez vider le cache DNS local de vos clients et de votre serveur DNS pour vous assurer que les mappages de domaines et d'adresses IP sont bien actualisés. Cela permet de nouvelles analyses et mappages des réponses DNS par votre Firebox.
• Pour vider le cache DNS local de votre serveur DNS, voir la documentation de votre serveur DNS.
• Pour afficher et vider le cache DNS d'un client Windows, tapez ces commandes dans la ligne de commande :
• ipconfig/displaydns
• ipconfig/flushdns
• Les mappages de domaine ne sont pas sauvegardés lorsque vous redémarrez votre Firebox. Vous devez vider le cache DNS local de vos clients et de votre serveur DNS pour vous assurer que les mappages de domaines et d'adresses IP sont bien actualisés.
• Vous pouvez aussi sauvegarder les mappages de domaine sur un fichier flash de votre Firebox qui peut être récupéré après un redémarrage. Pour enregistrer vos mappages de domaine sur un fichier flash dans le mode CLI principal, tapez : diagnose fqdn "/fqdnd/save_wildcard_domain_labels"

DNS Interne sur un Réseau Différent

Si les clients utilisent un serveur DNS interne local sur une zone de réseau différente (sur un réseau différent de celui du Firebox par exemple) :

• Configurez vos clients et votre Firebox pour qu'ils utilisent le serveur DNS local en tant que serveur de nom principal.
• Il n'est pas nécessaire de vider le cache DNS local de vos clients ou de vos serveurs DNS lorsque vous ajoutez un domaine générique à votre configuration ou lorsque vous redémarrez votre Firebox.

DNS externe

Si les clients et votre périphérique Firebox utilisent un serveur DNS externe :

• Configurez vos clients et votre Firebox pour qu'ils utilisent le serveur DNS externe en tant que serveur de nom principal. Si votre Firebox utilise le protocole DHCP ou PPPoE sur l'interface externe pour obtenir la configuration DNS, ce serveur DNS sera utilisé.
• Il n'est pas nécessaire de vider le cache DNS local de vos clients ou de vos serveurs DNS lorsque vous ajoutez un domaine générique à votre configuration ou lorsque vous redémarrez votre Firebox.

Journaux et Rapports

Vous pouvez visualiser la résolution et les actions du nom de domaine dans les messages du journal et rapports de la même manière que pour les autres adresses IP et hôtes.

Si vous utilisez un domaine générique, il sera affiché comme tel dans les messages du journal : *.exemple.com. Le sous-domaine spécifique qui a déclenché l'action n'est pas affiché.

Voir aussi

À propos de la page des stratégies de pare-feu

Ajouter des stratégies à votre configuration

À propos de Policy Manager

Envoyer Vos Commentaires  •   Obtenir de l'Aide  •   Documentation Complète des Produits  •   Recherche Technique

© 2018 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard, le logo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware et LiveSecurity sont des marques déposées ou des marques de commerce de WatchGuard Technologies aux Etats-Unis et/ou dans d'autres pays.