Oracle Cloud Infrastructure-Dokumentation

Firewall-Policy upgraden

Eine neue Version der Firewallrichtlinie ist verfügbar. Das Upgrade enthält neue Funktionen, mit denen Sie mehr Flexibilität und höhere Komponentenlimits für Policys erhalten.

Neue Features für aktualisierte Policys

  • Erhöhte Limits für Policy-Komponenten: Policy-Komponenten wurden zuvor als Attribute der Policy konfiguriert. Die neue Version reflektiert Policy-Komponenten als separate Objekte mit eigenen Namen. Dies ermöglicht eine Erhöhung der Anzahl der Komponenten, die Sie in jeder verknüpften Policy haben können, und die Möglichkeit, Komponenten zwischen Listen innerhalb der Policy zu verschieben. Weitere Informationen zu den einzelnen Komponenten und ihren Limits finden Sie in der Tabelle weiter unten in diesem Thema.
  • Betriebsverbesserungen: Durch das Aktualisieren einer Firewall wird die Verbindung nicht mehr zurückgesetzt.
  • Komponenten der Massenimport-Policy: Sie können Policy-Komponenten jetzt mit einer Datei .json im Bulkverfahren importieren. Sie können die maximal zulässigen Komponenten in einer Datei importieren. Der Network Firewall-Service stellt eine .json-Vorlage für jeden Komponententyp bereit, den Sie herunterladen und zum Erstellen einer Importdatei verwenden können. Weitere Informationen finden Sie unter Firewall-Policy-Komponenten importieren.
  • Sicherheits- und Entschlüsselungsregeln ganz einfach neu anordnen: Wenn Sie eine Regel erstellen oder bearbeiten, können Sie ihre Position der Regel in Bezug auf andere Regeln in der Policy angeben. Sie können die Regel nicht nur als erste oder letzte Regel in der Liste angeben, sondern auch eine benutzerdefinierte Position für die Regel angeben. Mit einer benutzerdefinierten Position können Sie die Regelposition so festlegen, dass sie vor oder nach einer anderen Regel in der Liste liegt. Sie können Regeln während der Erstellung, beim Bearbeiten einer Regel oder in der Liste auf der Seite mit den Policy-Details neu anordnen. Weitere Informationen finden Sie unter Entschlüsselungsregel zu einer Firewall-Policy hinzufügen und Sicherheitsregel zu einer Firewall-Policy hinzufügen.
  • Nach Komponenten suchen: Da Komponenten jetzt unabhängige Objekte sind, können Sie sie mit der Suchfunktion nach Name suchen.
  • Einfache Migration: Mit dem folgenden Workflow können Sie Ihre Policys auf die neue Version upgraden. Wenn Sie eine Richtlinie aktualisieren, werden alle zugehörigen Firewalls ebenfalls upgegradet.

Policy-Komponentendetails

Die folgende Tabelle zeigt die verschiedenen Komponenten mit dem vorherigen und dem aktuellen Maximum sowie dem API-Objektnamen. Weitere Informationen zu den Attributen und Abhängigkeiten der einzelnen Komponenten sowie Anweisungen zum Erstellen dieser Komponenten finden Sie unter Firewall-Policys erstellen und verwalten.
Komponente Vorheriger Höchstwert Neuer Max APIs
Sicherheitsregel 25 für jede Politik 10.000 pro Police
  • SecurityRule
  • CreateSecurityRule
  • UpdateSecurityRule
  • DeleteSecurityRule
  • GetSecurityRule
  • ListSecurityRules
  • BulkUploadSecurityRules
Entschlüsselungsregel 25 für jede Politik 1.000 für jede Police
  • DecryptionRule
  • CreateDecryptionRule
  • UpdateDecryptionRule
  • DeleteDecryptionRule
  • GetDecryptionRule
  • ListDecryptionRules
  • BulkUploadDecryptionRules
Anwendungslisten 25 für jede Politik 2.500 für jede Politik
  • ApplicationGroup
  • CreateApplicationGroup
  • UpdateApplicationGroup
  • DeleteApplicationGroup
  • GetApplicationGroup
  • ListApplicationGroups
  • BulkUploadApplicationGroups
Anwendungen NICHT ANWENDbar (Neue Komponente: vorher ein Attribut von Anwendungslisten) 1.000 für jede Anwendungsliste. 6.000 Anwendungen für jede Policy.
  • Application
  • CreateApplication
  • UpdateApplication
  • DeleteApplication
  • GetApplication
  • ListApplications
  • BulkUploadApplications
Service-Listen NICHT ANWENDbar (Neue Komponente) 2.500 für jede Politik
  • ServiceList
  • CreateServiceList
  • UpdateServiceList
  • DeleteServiceList
  • GetServiceList
  • ListServiceLists
  • BulkUploadServiceLists
Dienste NICHT ANWENDbar (Neue Komponente) 1.000 für jede Serviceliste. 1.900 Services für jede Policy.
  • Service
  • CreateService
  • UpdateService
  • DeleteService
  • GetService
  • ListServices
  • BulkUploadServices
URL-Listen 25 für jede Politik
  • 1.000 URL-Listen für jede Policy
  • 1.000 URLs für jede Liste.
  • UrlList
  • CreateUrlList
  • UpdateUrlList
  • DeleteUrlList
  • GetUrlList
  • ListUrlLists
  • BulkUploadUrlLists
Adressenlisten 25 für jede Politik
  • 20.000 Adresslisten für jede Police
  • 2.000 FQDN-Adresse für jede Policy
  • 1.000 Adressen für jede Liste
  • AddressList
  • CreateAddressList
  • UpdateAddressList
  • DeleteAddressList
  • GetAddressList
  • ListAddressLists
  • BulkUploadAddressLists
Zugeordnete Secrets 25 für jede Politik 300 pro Police
  • MappedSecret
  • CreateMappedSecret
  • UpdateMappedSecret
  • DeleteMappedSecret
  • GetMappedSecret
  • ListMappedSecrets
  • BulkUploadMappedSecrets
Entschlüsselungsprofile 25 für jede Politik 500 für jede Police
  • DecryptionProfile
  • CreateDecryptionProfile
  • UpdateDecryptionProfile
  • DeleteDecryptionProfile
  • GetDecryptionProfile
  • ListDecryptionProfiles
  • BulkUploadDecryptionProfiles

Vermeiden von Policy-Upgradeproblemen

Firewallrichtlinien mit den folgenden Attributen können ein Problem verursachen und das Upgrade kann nicht fortgesetzt werden:

  • Wenn eine Firewallrichtlinie eine Anwendungsliste mit einem Namen mit mehr als 24 Zeichen enthält. Um dieses Problem zu vermeiden, sollten Sie Anwendungslisten in maximal 24 Zeichen umbenennen.
  • Wenn eine Firewall-Policy Sicherheitsregeln enthält, bei denen eine der Listenanwendungen, URLs, Quellen oder Ziele mehr als 25 Elemente enthält. Sie sollten Sicherheitsregeln in mehrere Regeln mit jeweils weniger als 25 Elementen aufteilen, um dieses Problem zu vermeiden.
  • Wenn eine Firewall-Policy Entschlüsselungsregeln enthält, bei denen eine der Listenquellen oder Ziele mehr als 25 Elemente enthält. Sie sollten Entschlüsselungsregeln in mehrere Regeln mit jeweils weniger als 25 Elementen aufteilen, um dieses Problem zu vermeiden.

Wenn eine Firewall-Policy mit einer Firewall verknüpft ist, sollten Sie die Policy klonen, die vorgeschlagenen Änderungen vornehmen und dann die Firewall so ändern, dass sie die neue geklonte Policy vor dem Upgrade verwendet. Informationen zum Klonen einer Policy finden Sie unter Policy klonen. Informationen zum Ändern der Firewall finden Sie unter Firewall ändern.

Firewall-Policys upgraden

Alle neuen Firewalls und Policys, die Sie automatisch erstellen, verwenden die neue Version des Service. Firewalls und Policys, die vor der Veröffentlichung der neuen Version vorhanden waren, verwenden weiterhin die alte Version des Service, bis Sie sie upgraden. Neben jeder Policy, die die vorherige Version verwendet, befindet sich auf der Seite "Policy-Liste" eine Notation, mit der Sie feststellen können, welche Policys die alte oder neue Version verwenden.

Der Upgradeprozess dauert einige Minuten, wirkt sich jedoch nicht auf den Datenverkehr bei Firewalls aus, die diese Richtlinie verwenden.
Wichtig

  • Während des Upgradeprozesses können Sie die Policy oder ihre Komponenten nicht ändern.
  • Nachdem Sie eine Policy auf die Verwendung der neuen Version upgegradet haben, kann sie nicht auf die alte Version zurückgesetzt werden.
  • Wenn Sie eine Policy upgraden, wird für alle zugehörigen Firewalls automatisch ebenfalls ein Upgrade durchgeführt. Nach Abschluss des Upgrades können die zugehörigen Firewalls ältere Policy-Versionen nicht mehr verwenden.
  • Nach dem Upgrade einer Firewall kann sie nicht auf die alte Version zurückgesetzt werden. Eine Firewall wird upgegradet, wenn die angehängte Policy upgegradet wird oder wenn sie von einer alten Policy zu einer upgegradeten Policy wechselt.

Konsole verwenden

  1. Wählen Sie im Navigationsmenü Identität und Sicherheit aus. Gehen Sie zu Firewalls, und wählen Sie Netzwerkfirewall-Policys aus.
  2. Suchen Sie eine Policy in der Liste mit der Notation, dass sie für ein Upgrade bereit ist.
  3. Wählen Sie den Versicherungsschein.
  4. Wählen Sie in der Informationsmeldung Policy zur Verwendung neuer Features upgraden die Option Policy upgraden aus.
    Wenn das Upgrade abgeschlossen ist, wird auf der Seite mit den Policy-Details eine Meldung angezeigt, in der Sie wissen, dass Sie die neuen Features verwenden können. Jede Firewall, die an die Policy angehängt ist, wird ebenfalls upgegradet und kann nur an upgegradete Policys angehängt werden.