Documentación de Oracle Cloud Infrastructure

Plantillas para importar componentes de políticas de firewall

Descargue plantillas de archivos JSON y utilícelas para importar componentes de políticas de firewall de red, como listas de direcciones, listas de URL, listas de servicios y servicios, aplicaciones y listas de aplicaciones, perfiles y reglas de descifrado, secretos asignados, reglas NAT y reglas de seguridad.

Las plantillas JSON ayudan a importar en bloque componentes de política de firewall de red, como listas de direcciones, listas de URL, listas de servicios y servicios, aplicaciones y listas de aplicaciones, perfiles y reglas de descifrado, secretos asignados y reglas de seguridad.

Esta página proporciona una plantilla JSON para cada tipo de componente, los parámetros necesarios y las restricciones que debe tener en cuenta al utilizar la plantilla.

Para cargar los archivos JSON finalizados, consulte Importación de componentes de política de firewall.

Importante

  • Los recursos incluidos en un archivo JSON para la carga ya deben existir en la política antes de que se haga referencia a ellos en otro recurso. Por ejemplo, antes de cargar una lista de aplicaciones, primero debe cargar todas las aplicaciones que desea utilizar en la lista.
  • El tamaño máximo de archivo que puede cargar es 5 MB.

Plantilla para importar listas de direcciones

Cree una lista de direcciones a las que desea permitir o denegar el acceso. Puede especificar direcciones IP IPv4 o IPv6 individuales, bloques CIDR o direcciones FQDN.

Cada lista de direcciones puede contener un máximo de 1.000 direcciones. Una política puede contener un máximo de 20 000 listas de direcciones IP y 2 000 listas de direcciones FQDN.

Parámetros necesarios:
  • name
  • type (solo IP o FQDN )
  • addresses
Restricciones adicionales:
  • El nombre debe ser único dentro de la política, empezar por una letra y contener solo letras, números, espacios, guiones (-) o guiones bajos (_). Un guión debe ir seguido de un carácter alfanumérico. Mínimo: 2 caracteres; máximo: 28 caracteres.
  • Las direcciones se validan en función del tipo proporcionado. No agregue direcciones no válidas para un tipo.

Plantilla para importar listas de aplicaciones

Cree una lista de aplicaciones a las que desea permitir o denegar el acceso. Una política puede contener un máximo de 2.500 listas de aplicaciones. Cada lista de aplicaciones puede contener un máximo de 200 aplicaciones.

Parámetros necesarios:
  • name
Restricciones adicionales:
  • El nombre debe ser único dentro de la política, empezar por una letra y contener solo letras, números, espacios, guiones (-) o guiones bajos (_). Un guión debe ir seguido de un carácter alfanumérico. Mínimo: 2 caracteres; máximo: 28 caracteres.
  • Si no muestra ninguna aplicación, proporcione una matriz vacía para el parámetro "apps" en la plantilla.
  • Las aplicaciones deben existir ya en la política para que se les pueda hacer referencia en la lista importada.

Plantilla para importar aplicaciones

Una aplicación se define mediante una firma basada en los protocolos que utiliza. La inspección de capa 7 se utiliza para identificar aplicaciones coincidentes. Cada política puede contener un máximo de 6.000 aplicaciones.

Parámetros necesarios:
  • name
  • type (solo ICMP o ICMP_V6)
  • icmpType

Restricciones adicionales:

  • El nombre debe ser único dentro de la política, empezar por una letra y contener solo letras, números, espacios, guiones (-) o guiones bajos (_). Un guión debe ir seguido de un carácter alfanumérico. Mínimo: 2 caracteres; máximo: 28 caracteres.

Plantilla para importar listas de servicios

Cree una lista de servicios a los que desea permitir o denegar el acceso y defina rangos de puertos para cada uno. Una política puede contener un máximo de 2.000 listas de servicios. Una lista de servicios puede contener un máximo de 200 servicios.

Parámetros necesarios:
  • name

Restricciones adicionales:

  • El nombre debe ser único dentro de la política, empezar por una letra y contener solo letras, números, espacios, guiones (-) o guiones bajos (_). Un guión debe ir seguido de un carácter alfanumérico. Mínimo: 2 caracteres; máximo: 28 caracteres.
  • Si no muestra ningún servicio, proporcione una matriz vacía para el parámetro services en la plantilla.
  • Los servicios deben existir ya en la política para que se les pueda hacer referencia en la lista importada.

Plantilla para importar servicios

Un servicio se identifica mediante una firma basada en los puertos que utiliza. La inspección de la capa 4 se utiliza para identificar los servicios coincidentes. Cada política puede contener un máximo de 1.900 servicios.

Parámetros necesarios:
  • name
  • type (solo TCP o UDP)
  • portRanges

Restricciones adicionales:

  • El nombre debe ser único dentro de la política, empezar por una letra y contener solo letras, números, espacios, guiones (-) o guiones bajos (_). Un guión debe ir seguido de un carácter alfanumérico. Mínimo: 2 caracteres; máximo: 28 caracteres.
  • Puede definir un máximo de 10 rangos de puertos para cada servicio.

Plantilla para importar listas de URL

Cree una lista de URL a las que desea permitir o denegar el acceso. Una política puede contener un máximo de 1.000 listas de URL. Cada lista puede contener un máximo de 1.000 URL. El número máximo de URL permitidas en una política es 25 000.

Parámetros necesarios:
  • name
  • urls
  • type (solo SIMPLE)

Restricciones adicionales:

  • El nombre debe ser único dentro de la política, empezar por una letra y contener solo letras, números, espacios, guiones (-) o guiones bajos (_). Un guión debe ir seguido de un carácter alfanumérico. Mínimo: 2 caracteres; máximo: 28 caracteres.
  • urls no puede ser una matriz vacía. Proporcione varios objetos de URL para contener esas URL en la lista.

Plantilla para importar secretos asignados

Los secretos asignados son secretos que se crean en el servicio Vault y, a continuación, se asignan a claves SSL de entrada o salida. Los secretos se utilizan para desencriptar e inspeccionar el tráfico SSL/TLS con proxy de reenvío SSL o inspección de entrada SSL. Una política puede contener un máximo de 300 secretos asignados de inspección de entrada SSL y un máximo de un secreto asignado de proxy de reenvío SSL.

Parámetros necesarios:
  • name
  • source (solo OCI_VAULT)
  • type (solo SSL_INBOUND_INSPECTION o SSL_FORWARD_PROXY)
  • vaultSecretId
  • versionNumber

Restricciones adicionales:

  • El nombre debe ser único dentro de la política, empezar por una letra y contener solo letras, números, espacios, guiones (-) o guiones bajos (_). Un guión debe ir seguido de un carácter alfanumérico. Mínimo: 6 caracteres; máximo: 58 caracteres.
  • Puede crear un máximo de un secreto asignado de tipo SSL_FORWARD_PROXY para cada política.

Plantilla para importar perfiles de descifrado

Cree perfiles de descifrado para controlar cómo el proxy de reenvío SSL y la inspección de entrada SSL realizan comprobaciones de modo de sesión, de servidor y de fallos. Una política puede contener un máximo de 500 perfiles de descifrado.

Parámetros necesarios:
  • name
  • type (solo SSL_INBOUND_INSPECTION o SSL_FORWARD_PROXY)

Parámetros necesarios adicionales:

Cuando type es "SSL_INBOUND_INSPECTION", los siguientes parámetros son necesarios:
  • isUnsupportedVersionBlocked (verdadero o falso)
  • isUnsupportedCipherBlocked (verdadero o falso)
  • isOutOfCapacityBlocked (verdadero o falso)
Cuando type es "SSL_FORWARD_PROXY", los siguientes parámetros son necesarios:
  • isExpiredCertificateBlocked (verdadero o falso)
  • isUntrustedIssuerBlocked (verdadero o falso)
  • isRevocationStatusTimeoutBlocked (verdadero o falso)
  • isUnsupportedVersionBlocked (verdadero o falso)
  • isUnsupportedCipherBlocked (verdadero o falso)
  • isUnknownRevocationStatusBlocked (verdadero o falso)
  • areCertificateExtensionsRestricted (verdadero o falso)
  • isAutoIncludeAltName (verdadero o falso)
  • isOutOfCapacityBlocked (verdadero o falso)

Restricciones adicionales:

  • El nombre debe ser único dentro de la política, empezar por una letra y contener solo letras, números, espacios, guiones (-) o guiones bajos (_). Un guión debe ir seguido de un carácter alfanumérico. Mínimo: 2 caracteres; máximo: 63 caracteres.

Plantilla para importar reglas de seguridad

Las reglas de seguridad se aplican después de las reglas de descifrado. Una política puede contener un máximo de 10 000 reglas de seguridad.

Parámetros necesarios:
  • name
  • condition
  • position
  • action (solo ALLOW, REJECT, DROP o INSPECT)

Restricciones adicionales:

  • El nombre debe ser único dentro de la política, empezar por una letra y contener solo letras, números, espacios, guiones (-) o guiones bajos (_). Un guión debe ir seguido de un carácter alfanumérico. Mínimo: 2 caracteres; máximo: 63 caracteres.
  • Si el parámetro position está vacío, la regla se crea como la primera regla de la lista.
  • Si un campo de condición de coincidencia tiene un valor vacío, proporcione una matriz vacía para ese campo.
  • Si se especifica ACTION como INSPECT, se necesita el parámetro inspection. Los valores permitidos para inspection son INTRUSION_DETECTION y INTRUSION_PREVENTION.

Plantilla para importar reglas de descifrado

Las reglas de descifrado se aplican antes que las reglas de seguridad. Una política puede tener un máximo de 1.000 reglas de descifrado.

Parámetros necesarios:
  • name
  • condition
  • action (solo NO_DECRYPT o DECRYPT)
  • position

Restricciones adicionales:

  • El nombre debe ser único dentro de la política, empezar por una letra y contener solo letras, números, espacios, guiones (-) o guiones bajos (_). Un guión debe ir seguido de un carácter alfanumérico. Mínimo: 2 caracteres; máximo: 63 caracteres.
  • Si se especifica ACTION como DECRYPT, se necesitan los parámetros decryptionProfile y mappedSecret. Los valores TYPE para los valores decryptionProfile y mappedSecret especificados deben ser los mismos (SSL_INBOUND_INSPECTION o SSL_FORWARD_PROXY).

Plantilla para importar reglas de inspección de túneles

Utilice reglas de inspección de túnel para inspeccionar el tráfico reflejado en un recurso de Oracle mediante el servicio OCI Virtual Test Access Point (VTAP). El tráfico capturado en el origen de VTAP se encapsula en VXLAN y, luego, se envía al destino de VTAP. Consulte RFC 7348. Una política puede tener un máximo de 500 reglas de inspección de túneles.

Parámetros necesarios:
  • name
  • condition (sourceAddress, destinationAddress)
  • action (solo INSPECT or INSPECT_AND_CAPTURE_LOG)
  • position
  • protocol (solo VXLAN)
  • profile (solo mustReturnTrafficToSource":true)

Restricciones adicionales:

  • El nombre debe ser único dentro de la política, empezar por una letra y contener solo letras, números, espacios, guiones (-) o guiones bajos (_). Un guión debe ir seguido de un carácter alfanumérico. Mínimo: 2 caracteres; máximo: 63 caracteres.

Plantilla para importar reglas NAT

Utilice reglas NAT para asignar un conjunto de direcciones IP a un conjunto correspondiente de direcciones IP de traducción de direcciones de red (NAT).

Parámetros necesarios:
  • Name:
  • Type:
  • Condition:
  • Position:

Restricciones adicionales:

  • El nombre debe ser único dentro de la política, empezar por una letra y solo puede contener letras, números, espacios, un guion (-) o un guion bajo (_). Un guión debe ir seguido de un carácter alfanumérico. Mínimo: 2 caracteres; máximo: 63 caracteres.
  • Número máximo de reglas NAT para cada política de firewall: 2000