Documentation sur Oracle Cloud Infrastructure

Modèles pour l'importation des composants de politique de pare-feu

Téléchargez des modèles de fichier JSON et utilisez-les pour importer des composants de politique de pare-feu de réseau tels que des listes d'adresses, des URL, des services et des listes de services, des applications et des listes d'applications, des règles et des profils de décryptage, des clés secrètes mappées, des règles NAT et des règles de sécurité.

Les modèles JSON vous aident à importer en masse des composants de politique de pare-feu de réseau tels que les listes d'adresses, les listes d'URL, les listes de services et de services, les listes d'applications et d'applications, les règles et profils de déchiffrement, les clés secrètes mappées et les règles de sécurité dans.

Cette page fournit un modèle JSON pour chaque type de composant, les paramètres requis et toutes les contraintes dont vous devez tenir compte lorsque vous utilisez le modèle.

Pour charger les fichiers JSON terminés, voir Importer les composants de la politique de pare-feu.

Important

  • Les ressources incluses dans un fichier JSON à charger doivent déjà exister dans la politique avant d'être référencées dans une autre ressource. Par exemple, avant de charger une liste d'applications, vous devez d'abord charger toutes les applications que vous voulez utiliser dans la liste.
  • La taille maximale de fichier que vous pouvez charger est de 5 Mo.

Modèle pour importer des listes d'adresses

Créez une liste d'adresses auxquelles vous souhaitez autoriser ou refuser l'accès. Vous pouvez spécifier des adresses IP IPv4 ou IPv6 individuelles, des blocs CIDR ou des adresses FQDN.

Chaque liste d'adresses peut contenir un maximum de 1 000 adresses. Une politique peut contenir un maximum de 20 000 listes d'adresses IP et de 2 000 listes d'adresses FQDN.

Paramètres requis :
  • name
  • type (IP ou FQDN uniquement)
  • addresses
Contraintes supplémentaires :
  • Le nom doit être unique dans la politique, commencer par une lettre et contenir uniquement des lettres, des chiffres, des espaces, un tiret (-) ou un trait de soulignement (_). Un trait d'union doit être suivi d'un caractère alphanumérique. Minimum : 2 caractères; maximum : 28 caractères.
  • Les adresses sont validées en fonction du type indiqué. N'ajoutez pas d'adresses non valides pour un type.

Modèle pour importer des listes d'applications

Créez la liste des applications auxquelles vous souhaitez autoriser ou refuser l'accès. Une politique peut contenir un maximum de 2 500 listes d'applications. Chaque liste d'applications peut contenir un maximum de 200 applications.

Paramètres requis :
  • name
Contraintes supplémentaires :
  • Le nom doit être unique dans la politique, commencer par une lettre et contenir uniquement des lettres, des chiffres, des espaces, un tiret (-) ou un trait de soulignement (_). Un trait d'union doit être suivi d'un caractère alphanumérique. Minimum : 2 caractères; maximum : 28 caractères.
  • Si vous ne listez aucune application, fournissez un tableau vide pour le paramètre "apps" dans le modèle.
  • Les applications doivent déjà exister dans la politique avant leur référencement dans la liste importée.

Modèle pour importer des applications

Une application est définie par une signature basée sur les protocoles qu'elle utilise. L'inspection de couche 7 est utilisée pour identifier les applications correspondantes. Chaque politique peut contenir un maximum de 6 000 applications.

Paramètres requis :
  • name
  • type (ICMP ou ICMP_V6 uniquement)
  • icmpType

Contraintes supplémentaires :

  • Le nom doit être unique dans la politique, commencer par une lettre et contenir uniquement des lettres, des chiffres, des espaces, un tiret (-) ou un trait de soulignement (_). Un trait d'union doit être suivi d'un caractère alphanumérique. Minimum : 2 caractères; maximum : 28 caractères.

Modèle pour importer des listes de services

Créez une liste des services auxquels vous souhaitez autoriser ou refuser l'accès et définissez des intervalles de ports pour chacun. Une politique peut contenir un maximum de 2 000 listes de services. Une liste de services peut contenir un maximum de 200 services.

Paramètres requis :
  • name

Contraintes supplémentaires :

  • Le nom doit être unique dans la politique, commencer par une lettre et contenir uniquement des lettres, des chiffres, des espaces, un tiret (-) ou un trait de soulignement (_). Un trait d'union doit être suivi d'un caractère alphanumérique. Minimum : 2 caractères; maximum : 28 caractères.
  • Si vous ne listez aucun service, fournissez un tableau vide pour le paramètre services dans le modèle.
  • Les services doivent déjà exister dans la politique avant leur référencement dans la liste importée.

Modèle pour importer des services

Un service est identifié par une signature basée sur les ports qu'il utilise. L'inspection de la couche 4 est utilisée pour identifier les services correspondants. Chaque politique peut contenir un maximum de 1 900 services.

Paramètres requis :
  • name
  • type (TCP ou UDP uniquement)
  • portRanges

Contraintes supplémentaires :

  • Le nom doit être unique dans la politique, commencer par une lettre et contenir uniquement des lettres, des chiffres, des espaces, un tiret (-) ou un trait de soulignement (_). Un trait d'union doit être suivi d'un caractère alphanumérique. Minimum : 2 caractères; maximum : 28 caractères.
  • Vous pouvez définir un maximum de 10 intervalles de ports pour chaque service.

Modèle pour importer des listes d'URL

Créez une liste d'URL auxquelles vous souhaitez autoriser ou refuser l'accès. Une politique peut contenir un maximum de 1 000 listes d'URL. Chaque liste peut contenir un maximum de 1 000 URL. Le nombre maximal d'URL autorisées dans une politique est de 25 000.

Paramètres requis :
  • name
  • urls
  • type (SIMPLE uniquement)

Contraintes supplémentaires :

  • Le nom doit être unique dans la politique, commencer par une lettre et contenir uniquement des lettres, des chiffres, des espaces, un tiret (-) ou un trait de soulignement (_). Un trait d'union doit être suivi d'un caractère alphanumérique. Minimum : 2 caractères; maximum : 28 caractères.
  • urls ne peut pas être un tableau vide. Indiquez plusieurs objets d'URL pour contenir ces URL dans la liste.

Modèle pour importer les clés secrètes mappées

Les clés secrètes mappées sont des clés secrètes que vous créez dans le service de chambre forte, puis que vous mappez aux clés SSL entrantes ou sortantes. Les clés secrètes sont utilisées pour déchiffrer et inspecter le trafic SSL/TLS avec un mandataire de transmission SSL ou une inspection entrante SSL. Une politique peut contenir un maximum de 300 clés secrètes mappées à l'inspection entrante SSL et un maximum d'une clé secrète mappée au mandataire de transmission SSL.

Paramètres requis :
  • name
  • source (OCI_VAULT uniquement)
  • type (SSL_INBOUND_INSPECTION ou SSL_FORWARD_PROXY uniquement)
  • vaultSecretId
  • versionNumber

Contraintes supplémentaires :

  • Le nom doit être unique dans la politique, commencer par une lettre et contenir uniquement des lettres, des chiffres, des espaces, un tiret (-) ou un trait de soulignement (_). Un trait d'union doit être suivi d'un caractère alphanumérique. Minimum : 6 caractères; maximum : 58 caractères.
  • Vous pouvez créer un maximum d'une clé secrète mappée de type SSL_FORWARD_PROXY pour chaque politique.

Modèle pour importer les profils de déchiffrement

Créez des profils de déchiffrement pour contrôler la façon dont le mandataire de transmission SSL et l'inspection entrante SSL effectuent les vérifications de mode de session, les vérifications de serveur et les vérifications des échecs. Une politique peut contenir un maximum de 500 profils de déchiffrement.

Paramètres requis :
  • name
  • type (SSL_INBOUND_INSPECTION ou SSL_FORWARD_PROXY uniquement)

Paramètres supplémentaires requis :

Lorsque type a la valeur "SSL_INBOUND_INSPECTION", les paramètres suivants sont obligatoires :
  • isUnsupportedVersionBlocked (vrai ou faux)
  • isUnsupportedCipherBlocked (vrai ou faux)
  • isOutOfCapacityBlocked (vrai ou faux)
Lorsque type a la valeur "SSL_FORWARD_PROXY", les paramètres suivants sont obligatoires :
  • isExpiredCertificateBlocked (vrai ou faux)
  • isUntrustedIssuerBlocked (vrai ou faux)
  • isRevocationStatusTimeoutBlocked (vrai ou faux)
  • isUnsupportedVersionBlocked (vrai ou faux)
  • isUnsupportedCipherBlocked (vrai ou faux)
  • isUnknownRevocationStatusBlocked (vrai ou faux)
  • areCertificateExtensionsRestricted (vrai ou faux)
  • isAutoIncludeAltName (vrai ou faux)
  • isOutOfCapacityBlocked (vrai ou faux)

Contraintes supplémentaires :

  • Le nom doit être unique dans la politique, commencer par une lettre et contenir uniquement des lettres, des chiffres, des espaces, un tiret (-) ou un trait de soulignement (_). Un trait d'union doit être suivi d'un caractère alphanumérique. Minimum : 2 caractères; maximum : 63 caractères.

Modèle pour importer les règles de sécurité

Les règles de sécurité sont appliquées après les règles de déchiffrement. Une politique peut contenir un maximum de 10 000 règles de sécurité.

Paramètres requis :
  • name
  • condition
  • position
  • action (ALLOW, REJECT, DROP ou INSPECT uniquement)

Contraintes supplémentaires :

  • Le nom doit être unique dans la politique, commencer par une lettre et contenir uniquement des lettres, des chiffres, des espaces, un tiret (-) ou un trait de soulignement (_). Un trait d'union doit être suivi d'un caractère alphanumérique. Minimum : 2 caractères; maximum : 63 caractères.
  • Si le paramètre position est vide, la règle est créée en tant que première règle dans la liste.
  • Si un champ de condition de correspondance a une valeur vide, indiquez un tableau vide pour ce champ.
  • Si ACTION est spécifié comme INSPECT, le paramètre inspection est requis. Les valeurs autorisées pour inspection sont INTRUSION_DETECTION et INTRUSION_PREVENTION.

Modèle pour importer les règles de déchiffrement

Les règles de déchiffrement sont appliquées avant les règles de sécurité. Une politique peut avoir un maximum de 1 000 règles de déchiffrement.

Paramètres requis :
  • name
  • condition
  • action (NO_DECRYPT ou DECRYPT uniquement)
  • position

Contraintes supplémentaires :

  • Le nom doit être unique dans la politique, commencer par une lettre et contenir uniquement des lettres, des chiffres, des espaces, un tiret (-) ou un trait de soulignement (_). Un trait d'union doit être suivi d'un caractère alphanumérique. Minimum : 2 caractères; maximum : 63 caractères.
  • Si ACTION est spécifié comme DECRYPT, les paramètres decryptionProfile et mappedSecret sont requis. Les valeurs TYPE pour les valeurs decryptionProfile et mappedSecret spécifiées doivent être identiques (SSL_INBOUND_INSPECTION ou SSL_FORWARD_PROXY).

Modèle pour importer des règles d'inspection de tunnel

Utilisez des règles d'inspection de tunnel pour inspecter le trafic mis en miroir vers une ressource Oracle à l'aide du service de point d'accès de test virtuel (VTAP) OCI. Le trafic capturé à la source du VTAP est encapsulé dans le VXLAN, puis envoyé à la cible du VTAP. Voir RFC 7348. Une politique peut avoir un maximum de 500 règles d'inspection de tunnel.

Paramètres requis :
  • name
  • condition (sourceAddress, destinationAddress)
  • action (INSPECT or INSPECT_AND_CAPTURE_LOG uniquement)
  • position
  • protocol (VXLAN uniquement)
  • profile ("mustReturnTrafficToSource":true uniquement)

Contraintes supplémentaires :

  • Le nom doit être unique dans la politique, commencer par une lettre et contenir uniquement des lettres, des chiffres, des espaces, un tiret (-) ou un trait de soulignement (_). Un trait d'union doit être suivi d'un caractère alphanumérique. Minimum : 2 caractères; maximum : 63 caractères.

Modèle pour importer les règles NAT

Utilisez des règles NAT pour mapper un jeu d'adresses IP à un jeu correspondant d'adresses IP de traduction d'adresses réseau (NAT).

Paramètres requis :
  • Name:
  • Type:
  • Condition:
  • Position:

Contraintes supplémentaires :

  • Le nom doit être unique dans la politique, commencer par une lettre et ne peut contenir que des lettres, des chiffres, des espaces, un tiret (-) ou un trait de soulignement (_). Un tiret doit être suivi d'un caractère alphanumérique. Minimum : 2 caractères; maximum : 63.
  • Nombre maximal de règles NAT pour chaque politique de pare-feu : 2000