Oracle Cloud Infrastructure-Dokumentation

Tunnelprüfungsregel zu einer Firewallrichtlinie hinzufügen

Tunnelprüfungsregeln enthalten eine Reihe von Kriterien, mit denen ein Netzwerkpaket abgeglichen und dann geprüft wird.

Bevor Sie eine Tunnelprüfungsregel erstellen können, erstellen Sie Adresslisten.

Die angegebene Übereinstimmungsbedingung für Quelle und Ziel des Traffics besteht aus Listen, die Sie in der Policy konfigurieren, bevor Sie die Regel erstellen. Sie können maximal 500 Tunnelprüfungsregeln für jede Policy erstellen.

Wenn die angegebene Übereinstimmungsbedingung für Quelle und Ziel erfüllt ist, wendet die Firewall ein Standard-Tunnelprüfprofil von Palo Alto Networks® an. Das Profil weist die folgenden Merkmale auf und kann nicht bearbeitet werden:

  • Protokoll: VXLAN
  • Maximale Tunnelinspektionsebenen: Eine Einkapselungsebene wird geprüft
  • Gescannten VXLAN-Tunnel zur Quelle zurückgeben: True. Gibt das gekapselte Paket an den ursprünglichen VXLAN-Tunnelendpunkt (VTEP) zurück.
    1. Wählen Sie im Navigationsmenü Identität und Sicherheit aus. Gehen Sie zu Firewalls, und wählen Sie Netzwerkfirewall-Policys aus.
    2. Wählen Sie den Versicherungsschein.
    3. Wählen Sie unter Policy-Ressourcen die Option Tunnelprüfungsregeln aus.
    4. Wählen Sie Tunnelprüfungsregel erstellen aus.
    5. Geben Sie Informationen für die Sicherheitsregel ein:
      • Name: Geben Sie einen Namen für die Tunnelprüfungsregel ein.
      • Übereinstimmungsbedingung: Geben Sie Quelladresse und Zieladresse an, die übereinstimmen müssen, damit die Regel in Kraft tritt. Sie können beliebige von Ihnen erstellte Adresslisten auswählen. Wenn Sie noch keine Adresslisten erstellt haben, wählen Sie Adressliste erstellen aus, und verwenden Sie diese Anweisungen, um eine zu erstellen.
      • Regelreihenfolge: Wählen Sie die Position der Regel in Bezug auf andere Tunnelprüfungsregeln in der Policy aus. Die Firewall wendet die Tunnelprüfungsregeln in der angegebenen Reihenfolge von Anfang bis Ende an. Sie können die folgenden Regelpositionen angeben:
        • Erste Regel in der Liste
        • Letzte Regel in der Liste
        • Benutzerdefinierte Position (Nur aktiviert, wenn Sie mehrere Tunnelprüfungsregeln erstellen.)
        Wenn Sie Benutzerdefinierte Position auswählen, geben Sie an, ob diese Regel vor oder nach einer vorhandenen Regel angewendet werden soll. Geben Sie dann die vorhandene Regel an, vor oder nach der die neue Regel angewendet werden soll.
    6. Wählen Sie Tunnelprüfungsregel erstellen aus.

  • Verwenden Sie den Befehl network-firewall tunnel-inspection-rule create und die erforderlichen Parameter, um eine Tunnelprüfungsregel zu erstellen:

    oci network-firewall tunnel-inspection-rule create --name my_tunnel-inspection_rule --network-firewall-policy-id network firewall policy OCID
--condition '[{"sourceAddress":"IP_address"},{"destinationAddress":"IP_address"}]' ...[OPTIONS]

    Eine vollständige Liste der Parameter und Werte für CLI-Befehle finden Sie in der CLI-Befehlsreferenz.

  • Führen Sie den Vorgang <<<API LINK PLACEHOLDER>> aus, um eine Tunnelprüfungsregel zu erstellen.