Création de listes de politiques de pare-feu
Les listes sont des blocs fonctionnels qui permettent de regrouper des applications, des services, des URL ou des adresses en vue de les utiliser dans une règle.
Tous les éléments d'une liste sont traités de la même manière lorsqu'ils sont utilisés dans une règle. Par exemple, pour créer une règle qui refuse l'accès à des URL malveillantes connues, vous pouvez créer une liste d'URL appelée URL malveillantes. Vous pouvez ensuite créer une règle qui refuse l'accès à l'ensemble de la liste en tant que groupe.
Pour inclure un élément dans une règle, il doit d'abord être ajouté à une liste. La liste peut ensuite être référencée dans une règle. Vous pouvez créer une liste contenant un seul élément.
À propos des listes d'applications
Créez des applications et des listes d'applications pour autoriser ou refuser le trafic vers un groupe d'applications.
Une application est définie par une signature basée sur les protocoles qu'elle utilise. L'inspection de la couche 7 est utilisée pour identifier les applications correspondantes.
Les paramètres suivants sont utilisés pour définir une application :
- Nom : Nom unique que vous définissez pour l'application
- Protocole : ICMP ou ICMPv6
- ICMP ou ICMPv6 Type : Par exemple, 0-Réponse d'écho, 3-Destination inaccessible, 5-Redirection, 8-Écho
- ICMP ou code ICMPv6 : Par exemple, 0-Réseau non disponible, 1-Hôte non disponible, 2-Protocol non disponible, 3-Port non disponible
Pour plus d'informations sur les types et codes ICMP, voir Paramètres ICMP (Internet Control Message Protocol).
- Nombre maximal de listes d'applications pour chaque politique : 2 500
- Nombre maximal d'applications dans une seule liste : 200
- Nombre total maximal d'applications pour une politique : 6 000
Après avoir créé des applications, vous pouvez les ajouter à une liste d'applications dans la politique. Vous ne pouvez pas ajouter des applications d'une politique à une liste dans une autre politique. L'application doit être créée dans chaque politique dans laquelle vous voulez l'utiliser.
Pour créer une liste d'applications, voir Créer une liste d'applications.
À propos des listes de services
Créer des services et des listes de services pour autoriser ou refuser le trafic vers un groupe de services. Un service est identifié par une signature basée sur les ports qu'il utilise. L'inspection de la couche 4 est utilisée pour identifier les services correspondants.
- Nom : Nom unique que vous définissez pour le service.
- Protocole : TCP ou UDP.
- Intervalle de ports : Numéro ou intervalle de ports, par exemple, "1433", "80-8080" ou "22-22". Chaque service peut contenir un maximum de 10 intervalles de ports.
- Nombre maximal de listes de services pour chaque politique : 2 000
- Nombre maximal de services dans une liste unique : 200
- Nombre total maximal de services pour une politique : 1 900
Après avoir créé des services, vous pouvez les ajouter à une liste de services dans la stratégie. Vous ne pouvez pas ajouter des services d'une politique à une liste dans une autre politique. Le service doit être créé dans chaque politique dans laquelle vous voulez l'utiliser.
Pour créer une liste de services, voir Créer une liste de services.
À propos des listes d'URL
Créez des listes d'URL pour autoriser ou refuser le trafic vers un groupe d'URL. Vous pouvez créer jusqu'à 1 000 listes d'URL dans une politique. Chaque liste peut contenir un maximum de 1 000 URL. Chaque URL est entrée sur sa propre ligne dans la liste. Vous pouvez utiliser des caractères génériques tels que des astérisques (*) et un caret (^) dans une URL pour personnaliser la correspondance. N'entrez pas d'informations de protocole telles que http :// ou https ://.
-
Un caractère générique d'astérisque (*) indique un ou plusieurs sous-domaines de variable. L'entrée correspond à tout autre sous-domaine au début ou à la fin de l'URL. Par exemple :
*.example.com correspond à www.example.com, www.docs.example.com et www.example.com.ua.
*.example.com/ correspond à www.example.com et www.docs.example.com mais pas à www.example.com.ua.
- Un caractère générique caret (^) indique un seul sous-domaine de variable. Par exemple, mail.^.com correspond à mail.example.com, mais pas à mail.example.sso.com.
Voir aussi Exemples d'utilisation de caractères génériques dans les profils de filtrage d'URL.
www.example.com
production1.example.com
production2.example.com
www.example.net
www.example.biz
[1080:0:0:0:8:800:200C:417A]:8080/index.html
1080:0:0:0:8:800:200C:417A/index.html
*.example.com- Nombre maximal de listes d'URL par politique : 1 000
- Nombre maximal d'URL dans une seule liste : 1,000
- Nombre total maximal d'URL pour une politique : 25 000
Pour créer une liste d'URL, voir Créer une liste d'URL.
À propos des listes d'adresses
Créez une liste d'adresses auxquelles vous souhaitez autoriser ou refuser l'accès. Vous pouvez spécifier des adresses IP IPv4 ou IPv6 individuelles, ou utiliser des blocs CIDR dans une liste d'adresses IP. Chaque adresse est entrée sur sa propre ligne dans la liste.
Les adresses de nom de domaine complet sont disponibles uniquement pour des cas d'utilisation spécifiques. Pour utiliser les adresses de nom de domaine complet pour les listes d'adresses, créez une demande de service.
Voici un exemple de liste d'adresses IP :
10.0.0.0/16
10.1.0.0/24
10.2.0.0/24
10.3.0.0/24
10.4.0.0/24
10.5.0.0/24
2001:DB8::/32
2603:c020:0:6a00::/56
2603:c020:0:6aa1::/64Voici un exemple de liste d'adresses FQDN :
mymail.example1.edu
server.example.org
myhost.mydomain.net
database1.privatesubnet1.abccorpvcn1.oraclevcn.com
subneta.vcn1.oraclevcn.com- Nombre maximal de listes d'adresses pour chaque politique : 20 000 listes d'adresses IP, 2 000 listes de noms de domaine complets
- Nombre maximal d'adresses dans une seule liste : 1 000
Pour créer une liste d'adresses, voir Créer une liste d'adresses.
À propos des listes d'importation en masse
Vous pouvez utiliser un fichier JSON pour importer en masse des listes d'adresses, des listes d'URL, des listes de services et de services, des applications et des listes d'applications.
Pour importer une liste en masse, voir Importer des composants de politique de pare-feu.