Firewall-Policy-Listen erstellen
Listen sind Bausteine, mit denen Sie Anwendungen, Services, URLs oder Adressen zur Verwendung in einer Regel gruppieren können.
Alle Elemente in einer Liste werden gleich behandelt, wenn sie in einer Regel verwendet werden. Beispiel: Um eine Regel zu erstellen, die den Zugriff auf bekannte böswillige URLs verweigert, können Sie eine URL-Liste mit dem Namen Böswillige URLs erstellen. Anschließend können Sie eine Regel erstellen, die den Zugriff auf die gesamte Liste als Gruppe verweigert.
Um ein Element in eine Regel aufzunehmen, muss es zuerst einer Liste hinzugefügt werden. Die Liste kann dann in einer Regel referenziert werden. Sie können eine Liste erstellen, die ein einzelnes Element enthält.
Anwendungslisten
Erstellen Sie Anwendungen und Anwendungslisten, um Traffic zu einer Gruppe von Anwendungen zu erlauben oder abzulehnen.
Eine Anwendung wird durch eine Signatur basierend auf den verwendeten Protokollen definiert. Layer-7-Prüfung wird verwendet, um übereinstimmende Anwendungen zu identifizieren.
Zur Definition einer Anwendung werden die folgenden Parameter verwendet:
- Name: Ein eindeutiger Name, den Sie für die Anwendung definieren
- Protokoll: ICMP oder ICMPv6
- ICMP- oder ICMPv6-Typ: Beispiel: 0-Echoantwort, 3-Ziel nicht erreichbar, 5-Umleitung, 8-Echo
- ICMP- oder ICMPv6-Code: Beispiel: 0 - Netzwerk nicht erreichbar, 1 - Host nicht erreichbar, 2 - Protokoll nicht erreichbar, 3 - Port nicht erreichbar
Weitere Informationen zu ICMP-Typen und -Codes finden Sie unter Internet Control Message Protocol (ICMP)-Parameter.
- Maximale Anzahl Anwendungslisten für jede Policy: 2.500
- Maximale Anzahl Anwendungen in einer einzigen Liste: 200
- Maximale Gesamtanzahl der Anwendungen für eine Policy: 6.000
Nachdem Sie Anwendungen erstellt haben, können Sie sie einer Anwendungsliste in der Policy hinzufügen. Sie können keine Anwendungen aus einer Policy zu einer Liste in einer anderen Policy hinzufügen. Die Anwendung muss in jeder Policy erstellt werden, in der Sie sie verwenden möchten.
Informationen zum Erstellen einer Anwendungsliste finden Sie unter Anwendungsliste erstellen.
Informationen zu Dienstlisten
Erstellen Sie Services und Servicelisten, um Traffic für eine Gruppe von Services zuzulassen oder abzulehnen. Ein Service wird anhand der verwendeten Ports durch eine Signatur identifiziert. Layer-4-Prüfung wird verwendet, um übereinstimmende Services zu identifizieren.
- Name: Ein eindeutiger Name, den Sie für den Service definieren.
- Protokoll: TCP oder UDP.
- Portbereich: Eine Portnummer oder ein Portbereich, z.B. "1433", "80-8080" oder "22-22". Jeder Service kann maximal 10 Portbereiche enthalten.
- Maximale Anzahl Serviceliste für jede Policy: 2.000
- Maximale Anzahl Services in einer einzigen Liste: 200
- Maximale Gesamtzahl der Services für eine Policy: 1.900
Nachdem Sie Services erstellt haben, können Sie sie einer Serviceliste in der Policy hinzufügen. Sie können keine Services aus einer Policy zu einer Liste in einer anderen Policy hinzufügen. Der Service muss in jeder Policy erstellt werden, in der Sie ihn verwenden möchten.
Informationen zum Erstellen einer Serviceliste finden Sie unter Serviceliste erstellen.
Informationen zu URL-Listen
Erstellen Sie URL-Listen, um Traffic zu einer Gruppe von URLs zuzulassen oder abzulehnen. Sie können bis zu 1.000 URL-Listen in einer Policy erstellen. Jede Liste darf maximal 1.000 URLs enthalten. Jede URL wird in einer eigenen Zeile in der Liste eingegeben. Sie können Platzhalter wie Sternchen (*) und Caret-Zeichen (^) in einer URL verwenden, um die Übereinstimmung anzupassen. Geben Sie keine Protokollinformationen wie http:// oder https:// ein.
-
Ein Sternchen (*) als Platzhalter kennzeichnet eine oder mehrere variable Subdomains. Der Eintrag stimmt mit allen anderen Subdomains am Anfang oder Ende der URL überein. Beispiele:
*.example.com entspricht www.example.com, www.docs.example.com und www.example.com.ua.
*.example.com/ entspricht www.example.com und www.docs.example.com, aber nicht www.example.com.ua.
- Ein Platzhalterzeichen (^) kennzeichnet eine einzelne variable Subdomain. Beispiel: mail.^.com entspricht mail.example.com, aber nicht mail.example.sso.com.
Siehe auch Beispiel für die Verwendung von Platzhalterzeichen in URL-Filterprofilen.
www.example.com
production1.example.com
production2.example.com
www.example.net
www.example.biz
[1080:0:0:0:8:800:200C:417A]:8080/index.html
1080:0:0:0:8:800:200C:417A/index.html
*.example.com- Maximale Anzahl URL-Listen für jede Policy: 1.000
- Maximale Anzahl URLs in einer einzelnen Liste: 1,000
- Maximale Gesamtanzahl URLs für eine Policy: 25.000
Informationen zum Erstellen einer URL-Liste finden Sie unter URL-Liste erstellen.
Informationen zu Adresslisten
Erstellen Sie eine Liste mit Adressen, für die Sie den Zugriff gewähren oder verweigern möchten. Sie können einzelne IPv4- oder IPv6-IP-Adressen angeben oder CIDR-Blöcke in einer IP-Adressliste verwenden. Jede Adresse wird in einer eigenen Zeile in der Liste eingegeben.
FQDN-Adressen sind nur für bestimmte Anwendungsfälle verfügbar. Um FQDN-Adressen für Adresslisten zu verwenden, erstellen Sie eine Serviceanfrage.
Im Folgenden finden Sie ein Beispiel für eine IP-Adressliste:
10.0.0.0/16
10.1.0.0/24
10.2.0.0/24
10.3.0.0/24
10.4.0.0/24
10.5.0.0/24
2001:DB8::/32
2603:c020:0:6a00::/56
2603:c020:0:6aa1::/64Beispiel für eine FQDN-Adressliste:
mymail.example1.edu
server.example.org
myhost.mydomain.net
database1.privatesubnet1.abccorpvcn1.oraclevcn.com
subneta.vcn1.oraclevcn.com- Maximale Anzahl von Adresslisten für jede Policy: 20.000 IP-Adresslisten, 2.000 FQDN-Listen
- Maximale Anzahl von Adressen in einer einzigen Liste: 1.000
Informationen zum Erstellen einer Adressliste finden Sie unter Adressenliste erstellen.
Informationen zum Massenimport von Listen
Mit einer JSON-Datei können Sie Adresslisten, URL-Listen, Services und Servicelisten, Anwendungen und Anwendungslisten im Bulkverfahren importieren.
Informationen zum Massenimport einer Liste finden Sie unter Firewall-Policy-Komponenten importieren.