Documentación de Oracle Cloud Infrastructure

Adición de una regla de inspección de túnel a una política de firewall

Las reglas de inspección de túneles contienen un juego de criterios con los que se confronta y luego se inspecciona un paquete de red.

Antes de crear una regla de inspección de túnel, cree listas de direcciones.

La condición de coincidencia de origen y destino especificada para el tráfico consta de listas que se configuran en la política antes de crear la regla. Puede crear un máximo de 500 reglas de inspección de túnel para cada política.

Cuando se cumple la condición de coincidencia de origen y destino especificada, el firewall aplica un perfil de inspección de túnel de Palo Alto Networks® predeterminado. El perfil tiene las siguientes características y no se puede editar:

  • Protocolo: VXLAN
  • Niveles máximos de inspección de túnel: se inspecciona un nivel de encapsulación
  • Devuelva el túnel de VXLAN explorado al origen: verdadero. Devuelve el paquete encapsulado al punto final de túnel de VXLAN (VTEP) de origen.
    1. En el menú de navegación, seleccione Identity & Security. Vaya a Firewalls y seleccione Network Firewall Policies.
    2. Seleccione la póliza.
    3. En Recursos de política, seleccione Reglas de inspección de túnel.
    4. Seleccione Crear regla de inspección de túnel.
    5. Introduzca información para la regla de seguridad:
      • Nombre: introduzca un nombre para la regla de inspección de túnel.
      • Condición de coincidencia: especifique las direcciones de origen y de destino que deben coincidir para que se aplique la regla. Puede seleccionar cualquiera de las listas de direcciones que ha creado. Si aún no ha creado ninguna lista de direcciones, seleccione Crear lista de direcciones y utilice estas instrucciones para crear una.
      • Orden de regla: seleccione la posición de la regla en relación con otras reglas de inspección de túnel de la política. El firewall aplica las reglas de inspección de túneles en el orden especificado de primero a último. Puede especificar las siguientes posiciones de regla:
        • Primera regla de la lista
        • Última regla de la lista
        • Posición personalizada (solo se activa si crea más de una regla de inspección de túnel).
        Si selecciona Posición personalizada, especifique si desea que esta regla venga antes de una regla existente o después de una regla existente. A continuación, especifique la regla existente que desea que venga antes o después de la nueva regla.
    6. Seleccione Crear regla de inspección de túnel.

  • Utilice el comando network-firewall tunnel-inspection-rule create y los parámetros necesarios para crear una regla de inspección de túnel:

    oci network-firewall tunnel-inspection-rule create --name my_tunnel-inspection_rule --network-firewall-policy-id network firewall policy OCID
--condition '[{"sourceAddress":"IP_address"},{"destinationAddress":"IP_address"}]' ...[OPTIONS]

    Para obtener una lista completa de parámetros y valores para los comandos de la CLI, consulte la Referencia de comandos de CLI.

  • Ejecute la operación <<<API LINK PLACEHOLDER>> para crear una regla de inspección de túnel.