Oracle Cloud Infrastructure-Dokumentation

Sicherheitsregel zu einer Firewallrichtlinie hinzufügen

Sicherheitsregeln enthalten eine Gruppe von Kriterien, mit denen ein Netzwerkpaket abgeglichen und dann zugelassen oder blockiert wird.

Bevor Sie eine Sicherheitsregel erstellen können:
Die angegebene Übereinstimmungsbedingung für Quelle und Ziel des Traffics besteht aus Listen, die Sie in der Policy konfigurieren, bevor Sie die Regel erstellen. Sie können maximal 10.000 Sicherheitsregeln für jede Policy erstellen.
Wichtig

Wenn in der Sicherheitsregel keine Übereinstimmungskriterien definiert sind (eine leere Liste ist für die Regel angegeben), führt die Regel einen Abgleich anhand der Platzhalterkriterien ("any") durch. Dieses Verhalten gilt für den gesamten Traffic, der in der Regel untersucht wird.
    1. Wählen Sie im Navigationsmenü Identität und Sicherheit aus. Gehen Sie zu Firewalls, und wählen Sie Netzwerkfirewall-Policys aus.
    2. Wählen Sie den Versicherungsschein.
    3. Wählen Sie unter Policy-Ressourcen die Option Sicherheitsregeln aus.
    4. Wählen Sie Sicherheitsregel erstellen aus.
    5. Geben Sie die Informationen für die Sicherheitsregel ein:
      • Name: Geben Sie einen Namen ein.
      • Übereinstimmungsbedingung: Geben Sie an, dass die Regel mit beliebigen Adressen, Anwendungen, Services oder URLs übereinstimmt. Alternativ können Sie Quell- und Zieladressen, Anwendungen, Services oder URLs angeben, die der Regel sehr gut entsprechen. Sie können alle von Ihnen erstellten Listen auswählen. Wenn Sie noch keine Listen erstellt haben, wählen Sie Adressliste erstellen, Anwendungsliste erstellen, Serviceliste erstellen oder URL-Liste erstellen aus, und lesen Sie URL-Liste erstellen.
      • Regelaktion: Geben Sie die Aktion an, die ausgeführt werden soll, wenn die Übereinstimmungsbedingung erfüllt ist:
        • Traffic zulassen: Der Traffic wird zugelassen.
        • Traffic entfernen: Der Traffic wird automatisch gelöscht. Es wird keine Reset-Benachrichtigung gesendet.
        • Angriffserkennung: Protokolliert den Traffic.
        • Angriffsverhütung: Blockiert den Traffic.
          Wichtig

          Um die Angriffserkennung und -verhütung zu verwenden, müssen Sie auch das Logging aktivieren. Siehe Logging Firewall Activity. Informationen zur Angriffserkennung finden Sie im Abschnitt Angriffserkennung und -prävention in OCI-Netzwerkfirewall mit Beispielen.
        • Traffic ablehnen: Der Traffic wird gelöscht, und eine Zurücksetzungsbenachrichtigung wird gesendet.
      • Regelreihenfolge: Wählen Sie die Position der Regel in Bezug auf andere Sicherheitsregeln in der Policy aus. Die Firewall wendet die Sicherheitsregeln in der angegebenen Reihenfolge vom ersten bis zum letzten an. Sie können die folgenden Regelpositionen angeben:
        • Erste Regel in der Liste
        • Letzte Regel in der Liste
        • Benutzerdefinierte Position (Nur aktiviert, wenn Sie mehrere Sicherheitsregeln erstellen.)
        Wenn Sie Benutzerdefinierte Position auswählen, geben Sie an, ob diese Regel vor oder nach einer vorhandenen Regel angewendet werden soll. Geben Sie dann die vorhandene Regel an, vor oder nach der die neue Regel angewendet werden soll.
    6. Wählen Sie Sicherheitsregel erstellen aus.

  • Mit dem Befehl network-firewall security-rule create und den erforderlichen Parametern können Sie eine Entschlüsselungsregel erstellen:

    oci network-firewall security-rule create --name my_security_rule --network-firewall-policy-id network firewall policy OCID
--action ALLOW --condition '[{"sourceAddress":"IP_address"}]' ...[OPTIONS]

    Eine vollständige Liste der Parameter und Werte für CLI-Befehle finden Sie in der CLI-Befehlsreferenz.

  • Führen Sie den Vorgang CreateSecurityRule aus, um eine Sicherheitsregel zu erstellen.