Fehlerbehebung bei FQDN-Objekten, bei denen die Basisdomäne nicht mit den Subdomänen in den FTD-Zugriffskontrollrichtlinien übereinstimmt

Problem

Bei der Konfiguration von FQDN-Objekten (Fully Qualified Domain Name) in Zugriffskontrollrichtlinien von Cisco Firewall Threat Defense (FTD) werden Basisdomäneneinträge nicht automatisch mit Unterdomänen abgeglichen. Wenn Sie beispielsweise eine Richtlinie erstellen, die ein als "example.com" konfiguriertes Zielobjekt zulässt, wird die Unterdomäne "maps.example.com" blockiert, anstatt über dieselbe Richtlinienregel zugelassen zu werden. Dieses Verhalten wirft Fragen darüber auf, ob Basisdomänen als Platzhalter für alle Unterdomänen fungieren können und wie die richtige Konfigurationsmethode für die Implementierung von Platzhalter-FQDN-Übereinstimmungen in FTD-Richtlinien aussieht.

Umwelt

• FTD Version 7.2. Andere Versionen können ebenfalls betroffen sein.

• FMC Version 7.2. Andere Versionen können ebenfalls betroffen sein.

• FQDN-Objekte, die in Zugriffskontrollrichtlinien konfiguriert werden.

Auflösung

• Das beobachtete Verhalten entspricht dem erwarteten Betrieb von FQDN-Objekten.

• In Cisco FMC sind die FQDN-Objekte so konzipiert, dass sie exakten Domänennamen entsprechen und nicht automatisch als Platzhalter für Subdomänen fungieren.

• Für eine ordnungsgemäße Konfiguration der Subdomänenzuordnung müssen URL-Filterung und URL-Bedingungen anstelle von FQDN-Objekten verwendet werden.

Konfigurieren der URL-Filterung für die Subdomänenzuordnung

Um eine Domäne und alle zugehörigen Subdomänen in FMC abzugleichen, gehen Sie wie folgt vor:

Schritt 1: Navigieren zur Konfiguration der Zugriffskontrollrichtlinien-Regel

Navigieren Sie im FMC zu Richtlinien > Zugriffskontrolle > Zugriffskontrollrichtlinie > [Ihr Richtlinienname] > Regeln.

Schritt 2: Zugriffskontrollregel erstellen oder bearbeiten

Erstellen Sie eine neue Regel, oder bearbeiten Sie eine vorhandene Zugriffskontrollregel, in der Sie die Unterdomänenzuordnung implementieren möchten.

Schritt 3: URL-Bedingungen konfigurieren

Fügen Sie in der Regelkonfiguration URL-Bedingungen hinzu, anstatt FQDN-Objekte zu verwenden. Konfigurieren Sie die URL-Bedingung so, dass die Basisdomäne mit der entsprechenden Platzhaltersyntax für die Subdomänen enthalten ist.

Schritt 4: URL-Filterungsrichtlinie anwenden

Stellen Sie sicher, dass die URL-Filterung in der Zugriffskontrollrichtlinie aktiviert und ordnungsgemäß konfiguriert ist, um die URL-Bedingungen effektiv zu verarbeiten.

Schritt 5: Konfiguration bereitstellen

Bereitstellen der Konfigurationsänderungen auf den FTD-Zielgeräten, um die Subdomänen-Zuordnungsfunktion zu implementieren.

Alternative Konfigurationsmethoden

Wenn die URL-Filterung für den jeweiligen Anwendungsfall nicht geeignet ist, sollten Sie mehrere FQDN-Objekte für jede Unterdomäne erstellen, die explizit zugeordnet werden muss, oder Netzwerkobjekte mit IP-Adressbereichen verwenden, wenn die Domänen in vorhersagbare IP-Adressräume aufgelöst werden.

Ursache

FQDN-Objekte in Cisco FMC wurden so konzipiert, dass sie eine exakte Zuordnung der Domänennamen anstelle einer Platzhalteranpassung durchführen. Dies ist das beabsichtigte Verhalten des Systems. Die FQDN-Objektfunktionalität umfasst keine impliziten Subdomänen-Übereinstimmungsfunktionen, die die Verwendung von URL-Filterungsbedingungen erfordern, um das gewünschte Subdomänen-Übereinstimmungsverhalten zu erreichen.

Verwandte Inhalte

• https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/214698-understand-fqdn-feature-on-firepower-thr.html

• https://www.cisco.com/c/en/us/support/docs/security/firepower-management-center/214505-configure-fqdn-based-object-for-access-c.html

• Cisco Bug-ID CSCwf000588

• Technischer Support und Downloads von Cisco

Revisionsverlauf

Überarbeitung	Veröffentlichungsdatum	Kommentare
1.0	19-May-2026	Erstveröffentlichung