Solucionar Problemas de Objetos FQDN com Domínio Base Não Correspondente a Subdomínios nas Políticas de Controle de Acesso de FTD

Problema

Ao configurar objetos Fully Qualified Domain Name (FQDN) nas políticas de controle de acesso do Cisco Firewall Threat Defense (FTD), as entradas de domínio base não correspondem automaticamente aos subdomínios. Por exemplo, ao criar uma política que permita um objeto de destino configurado como "example.com", o subdomínio "maps.example.com" é bloqueado em vez de ser permitido por meio da mesma regra de política. Esse comportamento levanta questões sobre se os domínios básicos podem funcionar como curingas para todos os subdomínios e qual é o método de configuração apropriado para implementar a correspondência de FQDN de curinga nas políticas de FTD.

Ambiente

• FTD versão 7.2. Outras versões também podem ser afetadas.

• FMC versão 7.2. Outras versões também podem ser afetadas.

• Objetos FQDN configurados nas políticas de controle de acesso.

Resolução

• O comportamento observado é a operação esperada de objetos FQDN.

• No Cisco FMC, os objetos FQDN são projetados para corresponder nomes de domínio exatos e não funcionam automaticamente como curingas para subdomínios.

• Para configurar corretamente a correspondência de subdomínio, a filtragem de URL e as condições de URL devem ser usadas em vez dos objetos FQDN.

Configurando a filtragem de URL para correspondência de subdomínio

Para corresponder um domínio e todos os seus subdomínios no FMC, use estas etapas de configuração:

Etapa 1. Navegue até Configuração de Regra de Política de Controle de Acesso

No FMC, navegue para Policies > Access Control > Access Control Policy > [Your Policy Name] > Rules.

Etapa 2. Criar ou Editar Regra de Controle de Acesso

Crie uma nova regra ou edite uma regra de controle de acesso existente onde você deseja implementar a correspondência de subdomínio.

Etapa 3. Configurar Condições de URL

Na configuração de regra, adicione condições de URL em vez de usar objetos FQDN. Configure a condição de URL para incluir o domínio base com a sintaxe curinga apropriada para corresponder aos subdomínios.

Etapa 4. Aplicar a política de filtragem de URL

Verifique se a filtragem de URL está habilitada e configurada corretamente na política de controle de acesso para processar as condições de URL de forma eficaz.

Etapa 5. Implantar a configuração

Implante as alterações de configuração nos dispositivos FTD de destino para implementar a funcionalidade de correspondência de subdomínio.

Métodos alternativos de configuração

Se a filtragem de URL não for adequada para o caso de uso específico, considere a criação de vários objetos FQDN para cada subdomínio que precise ser correspondido explicitamente, ou use objetos de rede com intervalos de endereço IP se os domínios resolverem em espaços de endereço IP previsíveis.

Causa

Os objetos FQDN no Cisco FMC são projetados para executar a correspondência exata do nome de domínio, em vez da correspondência com curingas. Este é o comportamento pretendido do sistema. A funcionalidade do objeto FQDN não inclui recursos de correspondência implícita de subdomínio, que exigem o uso de condições de filtragem de URL para obter o comportamento de correspondência de subdomínio desejado.

Conteúdo relacionado

• https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/214698-understand-fqdn-feature-on-firepower-thr.html

• https://www.cisco.com/c/en/us/support/docs/security/firepower-management-center/214505-configure-fqdn-based-object-for-access-c.html

• ID de bug Cisco CSCwf000588

• Suporte técnico e downloads da Cisco

Histórico de revisões

Revisão	Data de publicação	Comentários
1.0	19-May-2026	Versão inicial