Documentación de Oracle Cloud Infrastructure

Creación de listas de políticas de firewall

Las listas son bloques de creación que permiten agrupar aplicaciones, servicios, URL o direcciones para utilizarlas en una regla.

Todos los elementos de una lista se tratan del mismo modo cuando se utilizan en una regla. Por ejemplo, para crear una regla que rechace el acceso a URL maliciosas conocidas, puede crear una lista de URL denominada URL maliciosas. A continuación, puede crear una regla que deniegue el acceso a toda la lista como grupo.

Para incluir cualquier elemento en una regla, primero debe agregarse a una lista. A continuación, se puede hacer referencia a la lista en una regla. Puede crear una lista que contenga un solo elemento.

Acerca de las Listas de Aplicaciones

Cree aplicaciones y listas de aplicaciones para permitir o denegar el tráfico a un grupo de aplicaciones.

Una aplicación se define mediante una firma basada en los protocolos que utiliza. La inspección de capa 7 se utiliza para identificar aplicaciones coincidentes.

Los siguientes parámetros se utilizan para definir una aplicación:

  • Nombre: nombre único que define para la aplicación.
  • Protocolo: ICMP o ICMPv6
  • Tipo de ICMP o ICMPv6: por ejemplo, respuesta 0-Echo, 3-Destino no accesible, 5-Redirigir, 8-Echo
  • Código ICMPv6 o ICMP: por ejemplo, 0-Red no accesible, 1-Host no accesible, 2-Protocolo no accesible, 3-Puerto no accesible

Para obtener más información sobre códigos y tipos de ICMP, consulte Internet Control Message Protocol (ICMP) Parameters.

Límites:
  • Número máximo de listas de aplicaciones para cada política: 2.500
  • Número máximo de aplicaciones en una sola lista: 200
  • Número total máximo de aplicaciones para una política: 6.000

Después de crear aplicaciones, puede agregarlas a una lista de aplicaciones en la política. No puede agregar aplicaciones de una política a una lista de otra política. La aplicación se debe crear dentro de cada política en la que desee utilizarla.

Para crear una lista de aplicaciones, consulte Creación de una lista de aplicaciones.

Acerca de las listas de servicios

Cree servicios y listas de servicios para permitir o denegar el tráfico a un grupo de servicios. Un servicio se identifica mediante una firma basada en los puertos que utiliza. La inspección de la capa 4 se utiliza para identificar los servicios coincidentes.

Los siguientes parámetros se utilizan para definir un servicio:
  • Nombre: nombre único que define para el servicio.
  • Protocol: TCP o UDP.
  • Rango de puertos: un número o rango de puertos, por ejemplo, "1433", "80-8080" o "22-22". Cada servicio puede contener un máximo de 10 rangos de puertos.
Límites:
  • Número máximo de listas de servicios para cada política: 2.000
  • Número máximo de servicios en una sola lista: 200
  • Número total máximo de servicios para una política: 1.900

Después de crear servicios, puede agregarlos a una lista de servicios en la política. No puede agregar servicios de una política a una lista de otra política. El servicio se debe crear dentro de cada política en la que desee utilizarlo.

Para crear una lista de servicios, consulte Creación de una lista de servicios.

Acerca de las listas de URL

Cree listas de URL para permitir o denegar el tráfico a un grupo de URL. Puede crear hasta 1.000 listas de URL en una política. Cada lista puede contener un máximo de 1.000 URL. Cada URL se introduce en su propia línea de la lista. Puede utilizar comodines, como asteriscos (*) y símbolo de intercalar (^) en una URL para personalizar la coincidencia. No introduzca información del protocolo, como http:// o https://. Estos son algunos ejemplos:

  • Un comodín de asterisco (*) coincide con uno o más niveles de subdominio de variable. La entrada coincide con subdominios adicionales al principio de la URL. Por ejemplo: *.example.com y *.example.com/ coinciden con www.example.com y www.docs.example.com.

  • Un carácter comodín de signo de intercalación (^) coincide exactamente con un nivel de subdominio de variable. Por ejemplo: mail.^.com coincide con mail.example.com pero no con mail.example.sso.com.

  • Para evitar un comportamiento de coincidencia no deseado, recomendamos agregar una barra final (/) cuando desee que coincida solo dentro de un dominio. Por ejemplo: *.example.com/ o ^.example.com/ coincide con las URL de example.com.

  • Para hacer coincidir varios dominios de nivel superior, utilice .* en la posición de dominio de nivel superior. Por ejemplo: example.co.* coincide con example.co.in, example.co.eu y dominios similares.

Nota

Para hacer coincidir los patrones de URL que incluyen rutas y parámetros de consulta, debe activar el descifrado.

Consulte también Directrices para excepciones de categoría de URL.

A continuación, se muestra un ejemplo de una lista de URL: 
www.example.com
production1.example.com
production2.example.com
www.example.net
www.example.biz
[1080:0:0:0:8:800:200C:417A]:8080/index.html
1080:0:0:0:8:800:200C:417A/index.html
*.example.com
Límites:
  • Número máximo de listas de URL para cada política: 1.000
  • Número máximo de URL en una sola lista: 1.000
  • Número total máximo de URL para una política: 25 000

Para crear una lista de URL, consulte Creación de una lista de URL.

Acerca de las listas de direcciones

Cree una lista de direcciones a las que desea permitir o denegar el acceso. Puede especificar direcciones IP IPv4 o IPv6 individuales, o bien utilizar bloques CIDR en una lista de direcciones IP. Cada dirección se introduce en su propia línea en la lista.

Nota

Las direcciones FQDN solo están disponibles para casos de uso específicos. Para utilizar direcciones FQDN para listas de direcciones, cree una solicitud de servicio.

A continuación, se muestra un ejemplo de una lista de direcciones IP:

10.0.0.0/16
10.1.0.0/24
10.2.0.0/24
10.3.0.0/24
10.4.0.0/24
10.5.0.0/24
2001:DB8::/32
2603:c020:0:6a00::/56
2603:c020:0:6aa1::/64

A continuación, se muestra un ejemplo de una lista de direcciones FQDN:

mymail.example1.edu
server.example.org
myhost.mydomain.net
database1.privatesubnet1.abccorpvcn1.oraclevcn.com
subneta.vcn1.oraclevcn.com
Límites:
  • Número máximo de listas de direcciones para cada política: 20 000 listas de direcciones IP, 2 000 listas FQDN
  • Número máximo de direcciones en una sola lista: 1.000

Para crear una lista de direcciones, consulte Crear una lista de direcciones.

Acerca de las listas de importación masiva

Puede utilizar un archivo JSON para importar de forma masiva listas de direcciones, listas de URL, listas de servicios y servicios, aplicaciones y listas de aplicaciones.

Para importar de forma masiva una lista, consulte Importar componentes de política de firewall.