Firewallrichtlinien erstellen und verwalten
Erstellen Sie Firewall-Policys zum Speichern der von Ihnen erstellten Firewall-Policy-Regeln, um zu steuern, wie eine Firewall den Netzwerktraffic prüft, zulässt oder ablehnt.
Erstellen Sie vor dem Erstellen von Firewalls Firewall-Policys. Jeder Firewall muss mindestens eine Firewall-Policy zugeordnet sein.
Wenn Sie eine Firewallrichtlinie erstellen, gelten die üblichen Limits und Einschränkungen für den Network Firewall-Service.
Informationen zu Firewall-Policy-Regelkomponenten
Nachdem Sie eine Firewall-Policy erstellt haben, bereiten Sie die Erstellung von Firewall-Policy-Regeln vor. Mit Komponenten von Firewall-Policy-Regeln können Sie Listen erstellen, um Anwendungen, Services, URLS oder Adressen zu gruppieren, die in einer Firewall-Policy-Regel verwendet werden sollen. Alle Elemente in einer Liste werden gleich behandelt, wenn sie in einer Regel verwendet werden. Die Liste kann dann in einer Regel referenziert werden.
Eine Regelkomponente kann auch Entschlüsselungsprofile enthalten. Erstellen Sie ein Entschlüsselungsprofil mit einem zugeordneten Secret, um zu steuern, wie der SSL-Weiterleitungsproxy und die eingehende SSL-Prüfung Sessionmodusprüfungen, Serverprüfungen und Fehlerprüfungen ausführen.
Informationen zu Firewall-Policy-Regeln
Eine Firewall-Policy-Regel ist eine Gruppe von Kriterien, die Sie für eine Firewall-Policy definieren, um Netzwerktraffic mit einer Firewall zuzulassen oder abzulehnen. Sie können folgende Typen von Firewall-Policy-Regeln erstellen:
- Entschlüsselungsregeln zum Entschlüsseln des Traffics
- Sicherheitsregeln zum Zulassen oder Blockieren von Traffic
- Tunnelprüfungsregeln zum Prüfen des Traffics
Wenn Sie eine Firewall-Policy erstellen und keine Firewall-Policy-Regeln definieren, wird der gesamte Netzwerktraffic abgelehnt.
- Entschlüsselungsregeln werden stets vor Sicherheitsregeln angewendet.
- Entschlüsselungsregeln und Sicherheitsregeln werden mit einer Prioritätsreihenfolge angewendet, die Sie definieren können
- Die Firewall wertet die Entschlüsselungsregeln in der Reihenfolge der Prioritätenliste aus.
- Stimmt eine Entschlüsselungsregel mit den Paketinformationen überein, wendet die Firewall die angegebene Regelaktion an.
- Wenn eine Regelaktion angewendet wird, wertet die Firewall keine weiteren Verschlüsselungsregeln aus.
- Stimmen die Paketinformationen mit keinen Entschlüsselungsregeln überein, entschlüsselt die Firewall das Paket nicht.
- Die Firewall wertet die Sicherheitsregeln in der Reihenfolge der Prioritätenliste aus.
- Wenn eine Sicherheitsregel mit den Paketinformationen übereinstimmt, wendet die Firewall die angegebene Regelaktion an.
- Wenn eine Regelaktion angewendet wird, wertet die Firewall keine weiteren Sicherheitsregeln aus.
- Stimmen die Paketinformationen mit keinen Sicherheitsregeln überein, löscht die Firewall das Paket.
Regeln sind optional. Wenn jedoch für die Policy, die Sie mit einer Firewall verwenden, nicht mindestens eine Regel angegeben ist, verweigert die Firewall den gesamten Netzwerktraffic.
Standardmäßig ist jede neu erstellte Regel das erste Element in der Prioritätsliste. Sie können die Prioritätsreihenfolge jederzeit ändern.
Informationen zu Entschlüsselungsregeln
Entschlüsselungsregeln entschlüsseln Traffic von einer angegebenen Quelle, einem angegebenen Ziel oder beidem. Die angegebene Übereinstimmungsbedingung für die Quelle und das Ziel für den Traffic besteht aus Adresslisten, die Sie in der Policy konfigurieren, bevor Sie die Regel erstellen.
Wenn die angegebene Übereinstimmungsbedingung für Quelle und Ziel erfüllt ist, führt die Firewall die Regelaktion aus. Sie können folgende Aktionen ausführen:
- Traffic mit SSL-Forward-Proxy entschlüsseln
- Traffic mit eingehender SSL-Prüfung entschlüsseln
- Entschlüsseln Sie den Traffic nicht.
Wenn Sie die Entschlüsselung auswählen, wählen Sie ein Entschlüsselungsprofil und ein zugeordnetes Secret aus, das beim Entschlüsseln des Traffics angewendet werden soll. Sie konfigurieren Entschlüsselungsprofile und zugeordnete Secrets in der Policy, bevor Sie die Regel erstellen. Standardmäßig werden die Entschlüsselungsregeln nach der Reihenfolge ihrer Erstellung priorisiert. Sie können die Prioritätsreihenfolge ändern.
- Maximale Anzahl Entschlüsselungsregeln für jede Policy: 1.000
Secrets und Profile für Entschlüsselungsregeln
Wenn eine Firewall-Policy Entschlüsselungsregeln verwendet, die Zertifikatsauthentifizierung verwenden, müssen Sie zugeordnete Secrets und Entschlüsselungsprofile einrichten.
Zugeordnete Secrets sind Secrets, die Sie im Vault-Service erstellen und dann ein- oder ausgehenden SSL-Schlüsseln zuordnen. Mit den Secrets wird SSL-/TLS-Traffic mit SSL-Forward-Proxy und eingehender SSL-Prüfung verschlüsselt und geprüft.
Wenn Sie einen SSL-Forward-Proxy oder eine eingehende SSL-Prüfung verwenden möchten, richten Sie einen Vault und Secrets ein, bevor Sie mit der Konfiguration einer Policy mit Regeln beginnen. Siehe Entschlüsselung und Prüfung von Netzwerkdatenverkehr einrichten.
Verschlüsselungsprofile steuern, wie der SSL-Weiterleitungsproxy und die eingehende SSL-Prüfung Sessionmodusprüfungen, Serverprüfungen und Fehlerprüfungen ausführen.
- Abgelaufenes Zertifikat blockieren: Blockiert Sessions, wenn das Zertifikat des Servers abgelaufen ist. Diese Option verhindert den Zugriff auf potenziell unsichere Websites. Wenn diese Option nicht ausgewählt ist, können Benutzer Verbindungen zu potenziell böswilligen Websites herstellen und Transaktionen mit diesen ausführen. Außerdem werden Warnmeldungen angezeigt, wenn sie versuchen, eine Verbindung herzustellen, die Verbindung wird jedoch nicht verhindert.
- Nicht vertrauenswürdigen Aussteller blockieren: Blockiert Sessions, wenn das Zertifikat des Servers von einer nicht vertrauenswürdigen Certificate Authority (CA) ausgegeben wurde. Ein nicht vertrauenswürdiger Aussteller kann auf einen Man-in-the-Middle-Angriff, einen Replay-Angriff oder einen anderen Angriff hinweisen.
- Timeoutzertifikat blockieren: Blockiert Sessions, wenn ein Timeout bei der Statusprüfung des Zertifikats auftritt. Zertifikatsstatus-Prüfungen verwenden die Zertifikat-Rücknahmeliste (Certificate Revocation List, CRL) auf einem Widerrufsserver oder verwenden das Online Certificate Status Protocol (OCSP), um zu sehen, ob das Zertifikat von der CA, die es ausgestellt hat, widerrufen wurde. Widerrufsserver reagieren möglicherweise langsam und verursachen einen Sessiontimeout, selbst wenn das Zertifikat gültig ist.
- Nicht unterstützte Cipher blockieren: Blockiert Sessions, wenn die im SSL-Handshake angegebene SSL-Cipher-Suite nicht unterstützt wird.
- Nicht unterstützte Version blockieren: Blockiert Sessions, wenn die im SSL-Handshake angegebene SSL-Version nicht unterstützt wird.
- Unbekanntes Zertifikat blockieren: Blockiert Sessions, wenn der Zertifikatsstatus als "Unbekannt" zurückgegeben wird. Der Zertifikatstatus kann aus vielen Gründen unbekannt sein. Verwenden Sie diese Option daher in Netzwerkbereichen mit höherer Sicherheit, anstatt für allgemeine Sicherheitszwecke.
- Zertifikatserweiterungen einschränken: Schränkt Erweiterungen auf Schlüsselverwendung und erweiterte Schlüsselverwendung ein. Verwenden Sie diese Option nur, wenn für das Deployment keine weiteren Zertifikatserweiterungen erforderlich sind.
- Alternativen Namen automatisch einschließen: Hängt automatisch einen Subject Alternative Name (SAN) an das Impersonierungszertifikat an, wenn das Serverzertifikat fehlt.
- Wenn keine Ressourcen verfügbar sind: Blockiert Sessions, wenn nicht genügend Verarbeitungsressourcen verfügbar sind. Wenn Sie diese Option nicht verwenden, gelangt der verschlüsselte Traffic in weiterhin verschlüsseltem Zustand in das Netzwerk, was zu potenziell gefährlichen Verbindungen führen kann. Bei Verwendung dieser Option kann die Benutzererfahrung beeinträchtigt werden, da Websites vorübergehend nicht erreichbar werden.
- Session mit nicht unterstützter Version blockieren: Blockiert Sessions, die eine schwache, nicht unterstützte Version des SSL-Protokolls haben.
- Nicht unterstützte Cipher blockieren: Blockiert Sessions, wenn die im SSL-Handshake angegebene SSL-Cipher-Suite nicht unterstützt wird.
- Wenn keine Ressourcen verfügbar sind: Blockiert Sessions, wenn nicht genügend Verarbeitungsressourcen verfügbar sind. Wenn Sie diese Option nicht verwenden, gelangt der verschlüsselte Traffic in weiterhin verschlüsseltem Zustand in das Netzwerk, was zu potenziell gefährlichen Verbindungen führen kann. Bei Verwendung dieser Option kann die Benutzererfahrung beeinträchtigt werden, da Websites vorübergehend nicht erreichbar werden.
- Maximale Anzahl zugeordnete Secrets für jede Policy: 300
- Maximale Anzahl eingehende zugeordnete SSL-Secrets für jede Policy: 300
- Maximale Anzahl von SSL-Forward-Proxy-Zuordnungs-Secrets für jede Policy: 1
- Maximale Anzahl Entschlüsselungsprofile für jede Policy: 500
Informationen zum Erstellen eines zugeordneten Secrets finden Sie unter Zugeordnetes Secret erstellen.
Informationen zum Erstellen eines Entschlüsselungsprofils finden Sie unter Entschlüsselungsprofil erstellen.
Sicherheitsregeln
Firewalls entscheiden anhand von Sicherheitsregeln, welcher Netzwerktraffic zugelassen oder blockiert wird. Jede Regel enthält eine Gruppe von Kriterien, mit denen Paketinformationen übereinstimmen müssen, damit die Regel angewendet wird. Dies wird als Regelabgleichsbedingung bezeichnet.
Sie können eine Sicherheitsregel so konfigurieren, dass sie einen Abgleich anhand der Quell- und Zieladresse, Anwendung, Service oder URL vornimmt. Die angegebene Übereinstimmungsbedingung für Quelle und Ziel des Traffics besteht aus Listen, die Sie in der Policy konfigurieren, bevor Sie die Regel erstellen.
Wenn in der Sicherheitsregel keine Übereinstimmungskriterien definiert sind (eine leere Liste ist für die Regel angegeben), führt die Regel einen Abgleich anhand der Platzhalterkriterien ("any") durch. Dieses Verhalten gilt für den gesamten Traffic, der in der Regel untersucht wird.
- Traffic zulassen: Der Traffic wird zugelassen.
- Traffic entfernen: Der Traffic wird automatisch gelöscht, und es wird keine Zurücksetzungsbenachrichtigung gesendet.
- Traffic ablehnen: Der Traffic wird gelöscht, und eine Zurücksetzungsbenachrichtigung wird gesendet.
- Intrusionserkennung: Der Traffic wird protokolliert.
- Intrusionsprävention: Der Traffic wird blockiert.Wichtig
Aktivieren Sie das Logging, um die Angriffserkennung und -verhütung zu verwenden. Siehe Logging Firewall Activity.
- Maximale Anzahl Sicherheitsregeln für jede Policy: 10.000
Informationen zu Tunnelprüfungsregeln
Verwenden Sie Tunnelprüfungsregeln, um Traffic zu prüfen, der mit dem Virtual Test Access Point-Service in eine Oracle-Ressource gespiegelt wurde. Der an der Quelle des virtuellen Testzugriffspunkts (VTAP) erfasste Traffic wird in VXLAN gekapselt und dann an das VTAP-Ziel gesendet.
Sie können den gesamten Traffic spiegeln oder einen Erfassungsfilter verwenden, um nur den gewünschten Traffic zu spiegeln.
Wenn die angegebene Übereinstimmungsbedingung für Quelle und Ziel erfüllt ist, wendet die Firewall ein Standard-Tunnelprüfprofil von Palo Alto Networks® an. Das Profil weist die folgenden Merkmale auf und kann nicht bearbeitet werden:
- Name: VXLAN
- Typ:
- Gescannten VXLAN-Tunnel zur Quelle zurückgeben: True. Gibt das gekapselte Paket an den ursprünglichen VXLAN-Tunnelendpunkt (VTEP) zurück.
Das Tunnelprüfungsprotokoll enthält Informationen zum gespiegelten VXLAN-Datenverkehr, der durch die Firewall geleitet wird.
- Maximale Anzahl Tunnelprüfungsregeln für jede Policy: 500
Informationen zu NAT-Regeln
NAT-Regeln sind eine leistungsstarke Gruppe von Anweisungen, die bestimmen, wie der Netzwerkverkehr in Ihrem Netzwerkverkehr übersetzt oder geändert wird. Sie bieten eine flexible und effiziente Lösung zur Verwaltung von IP-Adressen und zur Verbesserung der Sicherheit. Mit NAT-Regeln können Sie eine geordnete Gruppe von Regeln innerhalb der Firewall-Policy so konfigurieren, dass die Übersetzung von Many-to-One-Quellnetzwerkadressen (SNAT) ausgeführt wird. Sie können Quell- und Zieladressen zusammen mit Services als Regelabgleichskriterien für bestimmten Traffic definieren.
Die Firewall kann nur private NAT-Vorgänge ausführen, öffentliche NATs werden nicht unterstützt.
NAT auf Firewalls aktivieren:
Um NAT in Firewalls zu aktivieren, stellen Sie sicher, dass mindestens vier Ersatz-IPs im Firewallsubnetz für eine 4-Gbit/s-Firewall und mindestens fünf Ersatz-IPs für eine 25-Gbit/s-Firewall verfügbar sind.
Beim Anwenden von NAT-Regeln werden diese in einer bestimmten Reihenfolge innerhalb der Regelvorgänge angewendet. Nach der Entschlüsselung, Sicherheit und Tunnelregeln werden die NAT-Regeln angewendet, um einen umfassenden und sicheren Netzwerkverwaltungsprozess sicherzustellen.
Wenn Sie eine Firewallrichtlinie erstellen und NAT-Regeln einschließen, können Sie diese einer Firewall zuweisen, um die NAT-Funktionalität zu aktivieren. Mithilfe der NAT-Regeln führt die Firewall eine Übersetzung der privaten Quelladresse für Datenverkehr durch, der mit den definierten NAT-Regeln übereinstimmt.
Sie können NAT in Firewalls aktivieren mit:
- Konsole: Wenn Sie mit der Konsole eine Firewall-Policy mit einer Firewall verknüpfen, wird NAT automatisch aktiviert.
- CLI/API: Wenn Sie die CLI oder API verwenden, müssen Sie NAT für die Firewall explizit aktivieren, nachdem Sie die Firewall-Policy verknüpft haben. Dadurch wird sichergestellt, dass Sie genau kontrollieren können, wann und wie NAT aktiviert wird.
NAT-Regelbewertung und Anwendung:
NAT-Regeln werden anhand ihrer Prioritätsreihenfolge ausgewertet. Wenn Traffic durch die Firewall geleitet wird, werden die Regeln sequenziell verarbeitet, und die erste Abgleichsregel wird angewendet. Dadurch wird sichergestellt, dass die Regel mit der spezifischsten oder höchsten Priorität wirksam wird, und Sie erhalten eine präzise Kontrolle über die Übersetzung von Netzwerkadressen. Die Firewall führt NAT aus, wenn die angegebenen Übereinstimmungsbedingungen für Quelle und Ziel erfüllt sind. Dadurch wird sichergestellt, dass der Datenverkehr gemäß den definierten Regeln übersetzt wird.
Deaktivieren von NAT bei Firewalls:
Nachdem eine Firewallrichtlinie mit NAT-Regeln an eine Firewall angehängt wurde, kann NAT auf dieser Firewall nicht deaktiviert (deaktiviert) werden. Um NAT zu deaktivieren, müssen Sie zuerst die Firewall mit einer Richtlinie aktualisieren, die keine NAT-Regeln enthält. Erst nach diesem Update können Sie NAT auf der Firewall deaktivieren. Dadurch wird sichergestellt, dass die NAT konsistent und sicher angewendet wird, je nachdem, welche NAT-Regeln in der angehängten Firewallrichtlinie vorhanden sind.
Vorteile und Überlegungen:
NAT-Regeln bieten mehrere Vorteile, einschließlich effizienter IP-Adressverwaltung, verbesserter Sicherheit durch Übersetzung von Quell-IP-Adressen und der Möglichkeit, eingehenden Traffic für Load Balancing zu verteilen. Es ist jedoch wichtig, die Mindestsubnetz-CIDR-Anforderungen und die Auswirkungen von Fixed-NAT-IPs auf Ihre Netzwerkinfrastruktur zu berücksichtigen.
Limits:
- Maximale Anzahl NAT-Regeln für jede Firewall-Policy: 2000
- Private NAT-Funktionalität: Die Firewall kann nur private NAT-Vorgänge ausführen, öffentliche NAT wird nicht unterstützt.
- NAT-IP-Zuweisung: IPs werden nur aus dem Firewallsubnetz exklusiv zugewiesen.
- NAT-Poolgröße: Bei Firewalls mit 4 Gbit/s erfordert die NAT-Fähigkeit mindestens 4 freie IPs in einem Firewallsubnetz. Für eine Firewall mit 25 Gbit/s sind mindestens 5 Ersatz-IPs erforderlich. Wir empfehlen, zusätzliche IPs zu reservieren, um das zukünftige NAT-Poolwachstum zu unterstützen.
- Quell-NAT-Unterstützung: Nur Quell-NAT wird unterstützt. Ziel-NAT wird nicht unterstützt.
- Dynamic NAT/PAT: Dynamic Many-to-One NAT/PAT wird unterstützt und bietet Flexibilität beim Umgang mit mehreren Verbindungen. Statische Eins-zu-Eins-NAT wird nicht unterstützt.
- IPv4-Kompatibilität: Nur IPv4-Adressen werden für NAT unterstützt. IPv6 wird nicht unterstützt.
Siehe auch
- Firewallrichtlinie erstellen
- Komponenten für Firewall-Policy-Regeln erstellen
- Entschlüsselungsregel zu einer Firewallrichtlinie hinzufügen
- Sicherheitsregel zu einer Firewallrichtlinie hinzufügen
- Tunnelprüfungsregel zu einer Firewallrichtlinie hinzufügen
- Hinzufügen einer NAT-Regel zu einer Firewall-Policy
- Loggingfirewallaktivität