Documentación de Oracle Cloud Infrastructure

Adición de una regla de inspección de túnel a una política de firewall

Las reglas de inspección de túneles contienen un juego de criterios con los que se confronta y luego se inspecciona un paquete de red.

Para poder crear una regla de inspección de túnel, debe crear listas de direcciones.

La condición de coincidencia de origen y destino especificada para el tráfico consta de listas que se configuran en la política antes de crear la regla. Puede crear un máximo de 500 reglas de inspección de túnel para cada política.

Cuando se cumple la condición de coincidencia de origen y destino especificada, el firewall aplica un perfil de inspección de túnel de Palo Alto Networks® predeterminado. El perfil tiene las siguientes características y no se puede editar:

  • Protocolo: VXLAN
  • Niveles máximos de inspección de túnel: se inspecciona un nivel de encapsulación
  • Devuelva el túnel de VXLAN explorado al origen: verdadero. Devuelve el paquete encapsulado al punto final de túnel de VXLAN (VTEP) de origen.
    1. Abra el menú de navegación y seleccione Identity & Security. En Firewalls, seleccione Políticas de firewall de red.
    2. Seleccione el compartimento que contiene la política de firewall a la que desea agregar una regla de descifrado.
    3. Seleccione la póliza.
    4. En la página de detalles, seleccione el separador Reglas.
    5. En la tabla Reglas de inspección de túnel, seleccione Crear regla de inspección de túnel.
    6. Introduzca información para la regla:
      • Nombre: introduzca un nombre para la regla de inspección de túnel. Evite introducir información confidencial.
      • Condición de coincidencia: especifique las direcciones de origen y destino que deben coincidir para que la regla surta efecto. Puede seleccionar cualquiera de las listas de direcciones que haya creado. Si aún no ha creado ninguna lista de direcciones, seleccione Crear lista de direcciones en el menú Acciones y consulte Crear lista de direcciones.
      • Acción de regla: especifique la acción que desea realizar si se cumple la condición de coincidencia:
        • Inspeccionar: realiza una inspección de túnel en el tráfico coincidente.
        • Inspeccionar y capturar log: realiza una inspección de túnel en el tráfico coincidente y genera logs para la sesión de túnel.
      • Rule order (Orden de regla): seleccione la posición de la regla en relación con otras reglas de inspección de túneles de la política. El firewall aplica las reglas de inspección de túneles en el orden especificado del primero al último.

        La posición personalizada solo se activa si crea más de una regla de inspección de túnel. Si la selecciona, especifique si desea que esta regla sea anterior a una regla existente o posterior a una regla existente. A continuación, especifique la regla existente que desea que la nueva regla venga antes o después.

    7. Seleccione Crear regla de inspección de túnel.

  • Utilice el comando network-firewall tunnel-inspection-rule create y los parámetros necesarios para crear una regla de inspección de túnel:

    oci network-firewall tunnel-inspection-rule create --name my_tunnel-inspection_rule --network-firewall-policy-id network firewall policy OCID
--condition '[{"sourceAddress":"IP_address"},{"destinationAddress":"IP_address"}]' ...[OPTIONS]

    Para obtener una lista completa de parámetros y valores para los comandos de la CLI, consulte la Referencia de comandos de la CLI.

  • Ejecute la operación <<<API LINK PLACEHOLDER>> para crear una regla de inspección de túnel.