Oracle Cloud Infrastructure-Dokumentation

Vorlagen zum Importieren von Firewall-Policy-Komponenten

Laden Sie JSON-Dateivorlagen herunter, und verwenden Sie sie, um Netzwerkfirewall-Policy-Komponenten wie Adresslisten, URL-Listen, Services und Servicelisten, Anwendungen und Anwendungslisten, Entschlüsselungsregeln und -profile, zugeordnete Secrets, NAT-Regeln und Sicherheitsregeln zu importieren.

Mit JSON-Vorlagen können Sie Netzwerkfirewall-Policy-Komponenten wie Adresslisten, URL-Listen, Services und Servicelisten, Anwendungen und Anwendungslisten, Entschlüsselungsregeln und -profile, zugeordnete Secrets und Sicherheitsregeln im Bulkverfahren importieren.

Diese Seite enthält eine JSON-Vorlage für jeden Komponententyp, erforderliche Parameter und alle Constraints, die Sie bei der Verwendung der Vorlage beachten müssen.

Informationen zum Hochladen der abgeschlossenen JSON-Dateien finden Sie unter Firewall-Policy-Komponenten importieren.

Wichtig

  • Ressourcen, die in einer JSON-Datei zum Hochladen enthalten sind, müssen bereits in der Policy vorhanden sein, bevor sie in einer anderen Ressource referenziert werden. Beispiel: Bevor Sie eine Anwendungsliste hochladen können, müssen Sie zuerst alle Anwendungen hochladen, die Sie in der Liste verwenden möchten.
  • Sie können Dateien bis zu einer maximalen Dateigröße von 5 MB hochladen.

Vorlage zum Importieren von Adresslisten

Erstellen Sie eine Liste mit Adressen, für die Sie den Zugriff gewähren oder verweigern möchten. Sie können einzelne IPv4- oder IPv6-IP-Adressen, CIDR-Blöcke oder FQDN-Adressen angeben.

Jede Adressliste darf maximal 1.000 Adressen enthalten. Eine Policy kann maximal 20.000 IP-Adresslisten und 2.000 FQDN-Adresslisten enthalten.

Erforderliche Parameter:
  • name
  • type (nur IP oder FQDN )
  • addresses
Zusätzliche Constraints:
  • Der Name muss innerhalb der Policy eindeutig sein, mit einem Buchstaben beginnen und darf nur Buchstaben, Zahlen, Leerzeichen, einen Bindestrich (-) oder einen Unterstrich (_) enthalten. Auf einen Bindestrich muss ein alphanumerisches Zeichen folgen. Minimum: 2 Zeichen; Maximum: 28 Zeichen.
  • Adressen werden basierend auf dem angegebenen Typ validiert. Fügen Sie keine ungültigen Adressen für einen Typ hinzu.

Vorlage zum Importieren von Anwendungslisten

Erstellen Sie eine Liste der Anwendungen, für die Sie den Zugriff gewähren oder verweigern möchten. Eine Policy kann maximal 2.500 Anwendungslisten enthalten. Jede Anwendungsliste darf maximal 200 Anwendungen enthalten.

Erforderliche Parameter:
  • name
Zusätzliche Constraints:
  • Der Name muss innerhalb der Policy eindeutig sein, mit einem Buchstaben beginnen und darf nur Buchstaben, Zahlen, Leerzeichen, einen Bindestrich (-) oder einen Unterstrich (_) enthalten. Auf einen Bindestrich muss ein alphanumerisches Zeichen folgen. Minimum: 2 Zeichen; Maximum: 28 Zeichen.
  • Wenn Sie keine Anwendungen auflisten, geben Sie ein leeres Array für den Parameter "apps" in der Vorlage an.
  • Anwendungen müssen bereits in der Policy vorhanden sein, bevor sie in der importierten Liste referenziert werden.

Vorlage zum Importieren von Anwendungen

Eine Anwendung wird durch eine Signatur basierend auf den verwendeten Protokollen definiert. Layer-7-Prüfung wird verwendet, um übereinstimmende Anwendungen zu identifizieren. Jede Policy kann maximal 6.000 Anwendungen enthalten.

Erforderliche Parameter:
  • name
  • type (nur ICMP oder ICMP_V6)
  • icmpType

Zusätzliche Constraints:

  • Der Name muss innerhalb der Policy eindeutig sein, mit einem Buchstaben beginnen und darf nur Buchstaben, Zahlen, Leerzeichen, einen Bindestrich (-) oder einen Unterstrich (_) enthalten. Auf einen Bindestrich muss ein alphanumerisches Zeichen folgen. Minimum: 2 Zeichen; Maximum: 28 Zeichen.

Vorlage zum Importieren von Servicelisten

Erstellen Sie eine Liste der Services, für die Sie den Zugriff gewähren oder verweigern möchten, und definieren Sie Portbereiche für jeden Service. Eine Policy kann maximal 2.000 Servicelisten enthalten. Eine Serviceliste kann maximal 200 Services enthalten.

Erforderliche Parameter:
  • name

Zusätzliche Constraints:

  • Der Name muss innerhalb der Policy eindeutig sein, mit einem Buchstaben beginnen und darf nur Buchstaben, Zahlen, Leerzeichen, einen Bindestrich (-) oder einen Unterstrich (_) enthalten. Auf einen Bindestrich muss ein alphanumerisches Zeichen folgen. Minimum: 2 Zeichen; Maximum: 28 Zeichen.
  • Wenn Sie keine Services auflisten, geben Sie ein leeres Array für den Parameter services in der Vorlage an.
  • Services müssen bereits in der Policy vorhanden sein, bevor sie in der importierten Liste referenziert werden.

Vorlage zum Importieren von Services

Ein Service wird anhand der verwendeten Ports durch eine Signatur identifiziert. Layer-4-Prüfung wird verwendet, um übereinstimmende Services zu identifizieren. Jede Policy kann maximal 1.900 Services enthalten.

Erforderliche Parameter:
  • name
  • type (nur TCP oder UDP)
  • portRanges

Zusätzliche Constraints:

  • Der Name muss innerhalb der Policy eindeutig sein, mit einem Buchstaben beginnen und darf nur Buchstaben, Zahlen, Leerzeichen, einen Bindestrich (-) oder einen Unterstrich (_) enthalten. Auf einen Bindestrich muss ein alphanumerisches Zeichen folgen. Minimum: 2 Zeichen; Maximum: 28 Zeichen.
  • Sie können maximal 10 Portbereiche für jeden Service definieren.

Vorlage zum Importieren von URL-Listen

Erstellen Sie eine Liste mit URLs, denen Sie den Zugriff gewähren oder verweigern möchten. Eine Policy kann maximal 1.000 URL-Listen enthalten. Jede Liste kann maximal 1.000 URLs enthalten. In einer Policy sind maximal 25.000 URLs zulässig.

Erforderliche Parameter:
  • name
  • urls
  • type (nur SIMPLE)

Zusätzliche Constraints:

  • Der Name muss innerhalb der Policy eindeutig sein, mit einem Buchstaben beginnen und darf nur Buchstaben, Zahlen, Leerzeichen, einen Bindestrich (-) oder einen Unterstrich (_) enthalten. Auf einen Bindestrich muss ein alphanumerisches Zeichen folgen. Minimum: 2 Zeichen; Maximum: 28 Zeichen.
  • urls kann kein leeres Array sein. Geben Sie mehrere URL-Objekte an, die diese URLs in der Liste enthalten sollen.

Vorlage zum Importieren zugeordneter Secrets

Zugeordnete Secrets sind Secrets, die Sie im Vault-Service erstellen und dann ein- oder ausgehenden SSL-Schlüsseln zuordnen. Mit den Secrets wird SSL-/TLS-Traffic mit SSL-Weiterleitungsproxy oder eingehender SSL-Prüfung verschlüsselt und geprüft. Eine Policy kann maximal 300 zugeordnete Secrets für die eingehende SSL-Prüfung und maximal ein zugeordnetes Secret für den SSL-Forward-Proxy enthalten.

Erforderliche Parameter:
  • name
  • source (nur OCI_VAULT)
  • type (nur SSL_INBOUND_INSPECTION oder SSL_FORWARD_PROXY)
  • vaultSecretId
  • versionNumber

Zusätzliche Constraints:

  • Der Name muss innerhalb der Policy eindeutig sein, mit einem Buchstaben beginnen und darf nur Buchstaben, Zahlen, Leerzeichen, einen Bindestrich (-) oder einen Unterstrich (_) enthalten. Auf einen Bindestrich muss ein alphanumerisches Zeichen folgen. Mindestens: 6 Zeichen; maximal: 58 Zeichen.
  • Sie können maximal ein zugeordnetes Secret vom Typ SSL_FORWARD_PROXY für jede Policy erstellen.

Vorlage zum Importieren von Entschlüsselungsprofilen

Erstellen Sie Entschlüsselungsprofile, um zu steuern, wie der SSL-Forward-Proxy und die eingehende SSL-Prüfung Sessionmodusprüfungen, Serverprüfungen und Fehlerprüfungen ausführen. Eine Policy kann maximal 500 Entschlüsselungsprofile enthalten.

Erforderliche Parameter:
  • name
  • type (nur SSL_INBOUND_INSPECTION oder SSL_FORWARD_PROXY)

Zusätzliche erforderliche Parameter:

Wenn type "SSL_INBOUND_INSPECTION" ist, sind die folgenden Parameter erforderlich:
  • isUnsupportedVersionBlocked (true oder false)
  • isUnsupportedCipherBlocked (true oder false)
  • isOutOfCapacityBlocked (true oder false)
Wenn type "SSL_FORWARD_PROXY" ist, sind die folgenden Parameter erforderlich:
  • isExpiredCertificateBlocked (true oder false)
  • isUntrustedIssuerBlocked (true oder false)
  • isRevocationStatusTimeoutBlocked (true oder false)
  • isUnsupportedVersionBlocked (true oder false)
  • isUnsupportedCipherBlocked (true oder false)
  • isUnknownRevocationStatusBlocked (true oder false)
  • areCertificateExtensionsRestricted (true oder false)
  • isAutoIncludeAltName (true oder false)
  • isOutOfCapacityBlocked (true oder false)

Zusätzliche Constraints:

  • Der Name muss innerhalb der Policy eindeutig sein, mit einem Buchstaben beginnen und darf nur Buchstaben, Zahlen, Leerzeichen, einen Bindestrich (-) oder einen Unterstrich (_) enthalten. Auf einen Bindestrich muss ein alphanumerisches Zeichen folgen. Minimum: 2 Zeichen; Maximum: 63 Zeichen.

Vorlage zum Importieren von Sicherheitsregeln

Sicherheitsregeln werden nach der Entschlüsselung erzwungen. Eine Policy kann maximal 10.000 Sicherheitsregeln enthalten.

Erforderliche Parameter:
  • name
  • condition
  • position
  • action (nur ALLOW, REJECT, DROP oder INSPECT)

Zusätzliche Constraints:

  • Der Name muss innerhalb der Policy eindeutig sein, mit einem Buchstaben beginnen und darf nur Buchstaben, Zahlen, Leerzeichen, einen Bindestrich (-) oder einen Unterstrich (_) enthalten. Auf einen Bindestrich muss ein alphanumerisches Zeichen folgen. Minimum: 2 Zeichen; Maximum: 63 Zeichen.
  • Wenn der Parameter position leer ist, wird die Regel als erste Regel in der Liste erstellt.
  • Wenn ein Übereinstimmungsbedingungsfeld einen leeren Wert enthält, geben Sie ein leeres Array für dieses Feld an.
  • Wenn ACTION als INSPECT angegeben ist, ist der Parameter inspection erforderlich. Zulässige Werte für inspection sind INTRUSION_DETECTION und INTRUSION_PREVENTION.

Vorlage zum Importieren von Entschlüsselungsregeln

Entschlüsselungsregeln werden vor Sicherheitsregeln durchgesetzt. Eine Policy kann maximal 1.000 Entschlüsselungsregeln enthalten.

Erforderliche Parameter:
  • name
  • condition
  • action (nur NO_DECRYPT oder DECRYPT)
  • position

Zusätzliche Constraints:

  • Der Name muss innerhalb der Policy eindeutig sein, mit einem Buchstaben beginnen und darf nur Buchstaben, Zahlen, Leerzeichen, einen Bindestrich (-) oder einen Unterstrich (_) enthalten. Auf einen Bindestrich muss ein alphanumerisches Zeichen folgen. Minimum: 2 Zeichen; Maximum: 63 Zeichen.
  • Wenn ACTION als DECRYPT angegeben ist, sind die Parameter decryptionProfile und mappedSecret erforderlich. Die TYPE-Werte für die angegebenen decryptionProfile- und mappedSecret-Werte müssen identisch sein (SSL_INBOUND_INSPECTION oder SSL_FORWARD_PROXY).

Vorlage zum Importieren von Tunnelprüfungsregeln

Verwenden Sie Tunnelprüfungsregeln, um Traffic zu prüfen, der mit dem OCI Virtual Test Access Point-(VTAP-)Service in eine Oracle-Ressource gespiegelt wurde. Der an der VTAP-Quelle erfasste Traffic wird in VXLAN gekapselt und dann an das VTAP-Ziel gesendet. Siehe RFC 7348. Eine Policy kann maximal 500 Tunnelprüfungsregeln enthalten.

Erforderliche Parameter:
  • name
  • condition (sourceAddress, destinationAddress)
  • action (nur INSPECT or INSPECT_AND_CAPTURE_LOG)
  • position
  • protocol (nur VXLAN)
  • profile ("nur mustReturnTrafficToSource":true")

Zusätzliche Constraints:

  • Der Name muss innerhalb der Policy eindeutig sein, mit einem Buchstaben beginnen und darf nur Buchstaben, Zahlen, Leerzeichen, einen Bindestrich (-) oder einen Unterstrich (_) enthalten. Auf einen Bindestrich muss ein alphanumerisches Zeichen folgen. Minimum: 2 Zeichen; Maximum: 63 Zeichen.

Vorlage zum Importieren von NAT-Regeln

Verwenden Sie NAT-Regeln, um ein Set von IP-Adressen einem entsprechenden Set von Network Address Translation-(NAT-)IP-Adressen zuzuordnen.

Erforderliche Parameter:
  • Name:
  • Type:
  • Condition:
  • Position:

Weitere Constraints:

  • Der Name muss innerhalb der Policy eindeutig sein, mit einem Buchstaben beginnen und darf nur Buchstaben, Zahlen, Leerzeichen, Bindestriche (-) oder Unterstriche (_) enthalten. Auf einen Bindestrich muss ein alphanumerisches Zeichen folgen. Minimum: 2 Zeichen; Maximum: 63 Zeichen.
  • Maximale Anzahl NAT-Regeln für jede Firewall-Policy: 2000