[Network] Paloalto FQDN, URL Category 차이

FQDN(Fully Qualified Domain Name)

• FQDN은 IP Address Object로 방화벽 정책의 Src IP, Dst IP 객체로 사용합니다.
• FQDN 객체는 DNS를 통해 Domain - A 레코드 질의에 대한 결과(IP)를 FQDN Object에 매핑합니다.
• 받아온 IP주소는 일정 시간 동안 유지하며 정책 적용 시 Domain 기반이 아닌 IP기반으로 정책이 적용됩니다.
• 1개의 FQDN에 32개의 IP를 매핑할 수 있고 30초 마다 FQDN Refresh를 자동 수행합니다.
• FQDN은 보안 취약성으로 인해 IP를 사용할 수 없을 경우만 사용하는 것을 권장합니다.
       → 가이드 본문 : Use this method only when using an IP address is not possible
       (https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClHJCA0)
• 방화벽에서 DNS 질의가 어려운 경우 사용할 수 없습니다.

URL Category

• URL Category는 Policy - Security에서 URL Category 항목에서 사용합니다.
• HTTP패킷에 담겨있는 URL(또는 인증서/SNI)을 기반으로 패킷을 분석합니다. (실시간)
• FQDN에 비해 애플리케이션 수준(Layer 7)에서 분석이 이루어지기에 abc.dns.com, abc.dns.com/chan, *.dns.com 같이 도메인에 대한 자세한 정책을 적용할 수 있습니다.

정리

• 두 객체 모두 Domain 주소를 이용해 IP가 유동적인 상황에 사용 되나 패킷 필터링 적용 대상에 차이가 있습니다.
• [URL Category] : HTTP 패킷의 URL 기반으로 분석하여 자세한 Domain 필터링을 적용할 수 있습니다.
• [FQDN] : 생성한 FQDN Object의 Domain 질의를 통해 얻은 IP를 기반으로 정책에 적용하고 일정 시간 질의한 IP 정보를 갖고 있기에 Domain IP 변경 시 바뀐 정보가 즉각적으로 적용되지 않을 수 있습니다.

[참고 사이트]

https://mozepv.tistory.com/82

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClHJCA0

https://live.paloaltonetworks.com/t5/general-topics/fqdn-objects-or-url-categories/td-p/174178