Documentation sur Oracle Cloud Infrastructure

Création et gestion de politiques de pare-feu

Créez des politiques de pare-feu pour stocker les règles de politique de pare-feu que vous créez afin de contrôler la façon dont un pare-feu inspecte, autorise ou refuse le trafic réseau.

Créez des politiques de pare-feu avant de créer des pare-feu. Chaque pare-feu doit être associé à au moins une politique de pare-feu.

Lorsque vous créez une politique de pare-feu, les limites et restrictions habituelles du service de pare-feu de réseau s'appliquent.

À propos des composants de règle de politique de pare-feu

Après avoir créé une politique de pare-feu, commencez à vous préparer à créer des règles de politique de pare-feu. Avec les composants de règle de politique de pare-feu, vous pouvez créer des listes pour regrouper des applications, des services, des URL ou des adresses à utiliser dans une règle de politique de pare-feu. Tous les éléments d'une liste sont traités de la même manière lorsqu'ils sont utilisés dans une règle. La liste peut ensuite être référencée dans une règle.

Un composant de règle peut également inclure des profils de déchiffrement. Créez un profil de déchiffrement avec une clé secrète mappée pour contrôler la façon dont le mandataire de transmission SSL et l'inspection entrante SSL effectuent les vérifications de mode de session, les vérifications de serveur et les vérifications des échecs.

À propos des règles de politique de pare-feu

Une règle de politique de pare-feu est un jeu de critères que vous définissez pour qu'une politique de pare-feu autorise ou refuse le trafic réseau avec un pare-feu. Vous pouvez créer les types de règle de politique de pare-feu suivants :

  • Règles de déchiffrement pour déchiffrer le trafic
  • Règles de sécurité pour autoriser ou bloquer le trafic
  • Règles d'inspection du tunnel pour inspecter le trafic

Si vous créez une politique de pare-feu et que vous ne définissez aucune règle de politique de pare-feu, tout le trafic réseau sera refusé.

Les règles sont appliquées à un paquet de réseau à l'aide des critères spécifiques suivants :
  • Les règles de chiffrement sont toujours appliquées avant les règles de sécurité.
  • Les règles de déchiffrement et de sécurité sont appliquées selon un ordre de priorité que vous pouvez définir
Une fois que vous avez associé une politique à un pare-feu, celui-ci commence à autoriser ou à refuser le trafic en fonction des règles de la politique, comme suit :
  1. Le pare-feu évalue les règles de chiffrement dans l'ordre de la liste de priorités.
  2. Lorsqu'une règle de déchiffrement correspond aux informations de paquet, le pare-feu applique l'action de règle spécifiée.
  3. Lorsqu'une action de règle est appliquée, le pare-feu n'évalue aucune autre règle de déchiffrement.
  4. Si les informations de paquet ne correspondent à aucune règle de déchiffrement, le pare-feu ne déchiffre pas le paquet.
  5. Le pare-feu évalue les règles de sécurité dans l'ordre de la liste de priorités.
  6. Lorsqu'une règle de sécurité correspond aux informations de paquet, le pare-feu applique l'action de règle spécifiée.
  7. Lorsqu'une action de règle est appliquée, le pare-feu n'évalue aucune autre règle de sécurité.
  8. Si les informations de paquet ne correspondent à aucune règle de sécurité, le pare-feu supprime le paquet.

Les règles sont facultatives, mais si la politique que vous utilisez avec un pare-feu n'a pas au moins une règle spécifiée, le pare-feu refuse tout le trafic réseau.

Par défaut, chaque nouvelle règle créée devient la première de la liste de priorités. Vous pouvez modifier l'ordre de priorité à tout moment.

À propos des règles de déchiffrement

Les règles de déchiffrement déchiffrent le trafic à partir d'une source et/ou d'une destination spécifiée. La condition de correspondance source et de destination spécifiées pour le trafic est constituée de listes d'adresses que vous configurez dans la politique avant de construire la règle.

Lorsque la condition de correspondance source et de destination spécifiées est satisfaite, le pare-feu effectue l'action de règle. Vous pouvez choisir d'effectuer les actions suivantes :

  • Déchiffrer le trafic avec le mandataire de transmission SSL
  • Déchiffrer le trafic avec l'inspection entrante SSL
  • Ne déchiffrez pas le trafic.

Si vous choisissez de déchiffrer, vous choisissez ensuite un profil de déchiffrement et une clé secrète mappée à appliquer lors du déchiffrement du trafic. Vous configurez les profils de déchiffrement et les clés secrètes mappées dans la politique avant de construire la règle. Par défaut, l'ordre de priorité des règles de déchiffrement est leur ordre de création. Vous pouvez modifier l'ordre de priorité.

Limites :
  • Nombre maximal de règles de déchiffrement pour chaque politique : 1 000

Clés secrètes et profils pour les règles de déchiffrement

Si une politique de pare-feu utilise des règles de chiffrement qui utilisent l'authentification avec certificat, vous devez configurer des clés secrètes mappées et des profils de chiffrement.

Les clés secrètes mappées sont des clés secrètes que vous créez dans le service de chambre forte, puis que vous mappez aux clés SSL entrantes ou sortantes. Les clés secrètes sont utilisées pour déchiffrer et inspecter le trafic SSL/TLS avec un mandataire de transmission SSL et une inspection entrante SSL.

Si vous prévoyez d'utiliser un mandataire de transmission SSL ou une inspection entrante SSL, configurez une chambre forte et des clés secrètes avant de commencer à configurer une politique avec des règles. Voir Configuration du déchiffrement et de l'inspection du trafic réseau.

Les profils de chiffrement contrôlent la façon dont le mandataire de transmission SSL et l'inspection entrante SSL effectuent les vérifications de mode de session, les vérifications de serveur et les vérifications des échecs.

Les options suivantes sont disponibles pour les profils de chiffrement du mandataire de transmission SSL :
  • Bloquer un certificat arrivé à expiration : Bloque la session si le certificat du serveur a expiré. Cette option empêche l'accès à des sites potentiellement non sécurisés. Si cette option n'est pas sélectionnée, les utilisateurs peuvent se connecter et effectuer des transactions sur des sites potentiellement malveillants et voir des messages d'avertissement lorsqu'ils tentent de se connecter, mais la connexion n'est pas empêchée.
  • Bloquer si l'émetteur n'est pas approuvé : Bloque la session si le certificat du serveur est émis par une autorité de certification non approuvée. Un émetteur non approuvé peut indiquer une attaque par interception, une attaque par rejeu ou une autre attaque.
  • Bloquer un certificat avec temporisation : Bloque la session en cas de temporisation de la vérification du statut du certificat. Les vérifications de statut de certificat utilisent la liste de révocation de certificats sur un serveur de révocation ou utilisent le protocole OCSP pour voir si l'autorité de certification qui a émis le certificat l'a révoqué. Les serveurs de révocation peuvent tarder à répondre, ce qui peut entraîner l'expiration de la session, même si le certificat est valide.
  • Bloquer le chiffrement non pris en charge : Bloque les sessions si la suite de chiffrement SSL spécifiée dans l'établissement de liaison SSL n'est pas prise en charge.
  • Bloquer la version non prise en charge : Bloque les sessions si la version SSL spécifiée dans l'établissement de liaison SSL n'est pas prise en charge.
  • Bloquer un certificat inconnu : Bloque les sessions si le statut du certificat est retourné comme "inconnu". Le statut du certificat peut être inconnu pour de nombreuses raisons. Par conséquent, utilisez cette option dans les zones de sécurité renforcée du réseau plutôt que pour la sécurité générale.
  • Restreindre les extensions du certificat : Restreint les extensions à l'utilisation des clés et l'utilisation étendue des clés. Utilisez cette option uniquement si le déploiement ne nécessite aucune autre extension de certificat.
  • Ajouter automatiquement le nom de remplacement : Ajoute automatiquement un nom de remplacement de sujet au certificat d'emprunt d'identité si le certificat de serveur est manquant.
  • Bloquer en cas d'absence de ressource : Bloque la session si les ressources de traitement disponibles sont insuffisantes. Si vous n'utilisez pas cette option, le trafic chiffré entre dans le réseau encore chiffré, ce qui risque d'entraîner des connexions potentiellement dangereuses. L'utilisation de cette option peut affecter l'expérience utilisateur en rendant des sites temporairement inaccessibles.
Les options suivantes sont disponibles pour les profils de chiffrement d'inspection entrante SSL :
  • Bloquer les sessions avec des versions non prises en charge : Bloque les sessions qui ont une version faible et non prise en charge du protocole SSL.
  • Bloquer le chiffrement non pris en charge : Bloque les sessions si la suite de chiffrement SSL spécifiée dans l'établissement de liaison SSL n'est pas prise en charge.
  • Bloquer en cas d'absence de ressource : Bloque la session si les ressources de traitement disponibles sont insuffisantes. Si vous n'utilisez pas cette option, le trafic chiffré entre dans le réseau encore chiffré, ce qui risque d'entraîner des connexions potentiellement dangereuses. L'utilisation de cette option peut affecter l'expérience utilisateur en rendant des sites temporairement inaccessibles.
Limites :
  • Nombre maximal de clés secrètes mappées pour chaque politique : 300
  • Nombre maximal de clés secrètes mappées entrantes SSL pour chaque politique : 300
  • Nombre maximal de clés secrètes mappées au mandataire de transmission SSL pour chaque politique : 1
  • Nombre maximal de profils de déchiffrement pour chaque politique : 500

Pour créer une clé secrète mappée, voir Créer une clé secrète mappée.

Pour créer un profil de chiffrement, voir Créer un profil de chiffrement.

À propos des règles de sécurité

Les pare-feu utilisent des règles de sécurité pour décider du trafic réseau autorisé ou bloqué. Chaque règle contient un ensemble de critères auxquels les informations de paquet doivent correspondre pour appliquer la règle. Il s'agit de la condition de correspondance de la règle.

Vous pouvez configurer une règle de sécurité pour la mise en correspondance en fonction de l'adresse source et de destination, de l'application, du service ou de l'URL. La condition de correspondance de la source et de la destination spécifiées pour le trafic est constituée de listes que vous configurez dans la politique avant de construire la règle.

Important

Si aucun critère de correspondance n'est défini dans la règle de sécurité (une liste vide est spécifiée pour la règle), la règle correspond à un critère générique ("au choix"). Ce comportement s'applique à tout le trafic examiné dans la règle.
L'action de règle définit la façon dont le pare-feu traite le paquet s'il correspond aux conditions spécifiées. Le pare-feu peut effectuer les actions suivantes :
  • Autoriser le trafic : Le trafic est autorisé à continuer.
  • Supprimer le trafic : Le trafic est supprimé en mode silencieux et aucun avis de réinitialisation n'est envoyé.
  • Rejeter le trafic : Le trafic est supprimé et un avis de réinitialisation est envoyé.
  • Détection des intrusions : Le trafic est journalisé.
  • Prévention des intrusions : Le trafic est bloqué.
    Important

    Pour utiliser la détection et la prévention des intrusions, activez la journalisation. Voir Activité du pare-feu de journalisation.
Limites :
  • Nombre maximal de règles de sécurité pour chaque politique : 10 000

À propos des règles d'inspection de tunnel

Utilisez des règles d'inspection de tunnel pour inspecter le trafic mis en miroir vers une ressource Oracle à l'aide du service de point d'accès de test virtuel. Le trafic capturé à la source du point d'accès de test virtuel (VTAP) est encapsulé dans le VXLAN, puis envoyé à la cible du VTAP.

Vous pouvez mettre en miroir tout le trafic ou utiliser un filtre de saisie pour mettre en miroir uniquement le trafic qui vous intéresse.

Lorsque la condition de correspondance entre la source et la destination spécifiées est remplie, le pare-feu applique un profil d'inspection de tunnel Palo Alto Networks® par défaut. Le profil a les caractéristiques suivantes et n'est pas modifiable :

  • Nom : VXLAN
  • Entrez :
  • Retournez le tunnel VXLAN balayé à la source : Vrai. Retourne le paquet encapsulé au point d'extrémité du tunnel VXLAN d'origine (VTEP).

Le journal d'inspection des tunnels fournit des informations sur le trafic VXLAN en miroir passant par le pare-feu.

Limites :
  • Nombre maximal de règles d'inspection de tunnel pour chaque politique : 500

À propos des règles NAT

Les règles NAT sont un ensemble puissant d'instructions qui régissent la façon dont le trafic réseau est traduit ou modifié sur votre trafic réseau, offrant une solution flexible et efficace pour gérer les adresses IP et améliorer la sécurité. Avec les règles NAT, vous pouvez configurer un jeu ordonné de règles au sein de la politique de pare-feu pour exécuter la traduction d'adresses réseau source (SNAT) de plusieurs à un. Vous pouvez définir des adresses source et de destination, ainsi que des services, comme critères de correspondance de règles pour un trafic spécifique.

En créant une politique de pare-feu et en intégrant des règles NAT, vous pouvez mettre en oeuvre la traduction d'adresses de réseau source (SNAT) sur le trafic sortant, en modifiant efficacement l'adresse IP source en un groupe d'adresses SNAT masquant les détails du réseau interne. Lorsque NAT est activé, les adresses IP NAT fixes sont automatiquement allouées à partir du sous-réseau du pare-feu. Actuellement, les règles NAT prennent uniquement en charge IPv4.
Important

Le pare-feu ne peut effectuer que des opérations NAT privées. La NAT publique n'est pas prise en charge.

Activation de NAT pour les pare-feu :

Pour activer NAT sur les pare-feu, assurez-vous qu'au moins quatre adresses IP de rechange sont disponibles sur le sous-réseau de pare-feu pour un pare-feu de 4 Gbit/s et qu'au moins cinq adresses IP de rechange pour un pare-feu de 25 Gbit/s.

Lors de l'application de règles NAT, elles sont appliquées dans un ordre spécifique au sein des opérations de règle. Les règles NAT sont appliquées après le déchiffrement, la sécurité et les règles de tunnel, assurant ainsi un processus de gestion de réseau complet et sécurisé.

Lorsque vous créez une politique de pare-feu et que vous incluez des règles NAT, vous pouvez l'affecter à un pare-feu pour activer la fonctionnalité NAT. À l'aide des règles NAT, le pare-feu effectue la traduction des adresses sources privées pour le trafic correspondant aux règles NAT définies.

Vous pouvez activer NAT sur les pare-feu à l'aide des éléments suivants :

  • Console : Lorsque vous utilisez la console pour associer une politique de pare-feu à un pare-feu, la traduction d'adresses de réseau est automatiquement activée.
  • Interface de ligne de commande/API : Lors de l'utilisation de l'interface de ligne de commande ou de l'API, vous devez activer explicitement la traduction d'adresses de réseau pour le pare-feu après avoir associé la politique de pare-feu. Cela garantit que vous avez un contrôle précis sur le moment et la façon dont NAT est activé.

Évaluation et application des règles NAT :

Les règles NAT sont évaluées en fonction de leur ordre de priorité. Lorsque le trafic passe par le pare-feu, les règles sont traitées séquentiellement et la première règle de correspondance est appliquée. Cela garantit que la règle de priorité la plus spécifique ou la plus prioritaire prend effet, vous fournissant un contrôle précis sur la traduction d'adresses réseau. Le pare-feu effectue la traduction d'adresses de réseau (NAT) lorsque les conditions de correspondance de source et de destination spécifiées sont satisfaites, en s'assurant que le trafic est traduit conformément aux règles définies.

Désactivation de NAT sur les pare-feu :

Notez qu'une fois qu'une politique de pare-feu contenant des règles NAT est attachée à un pare-feu, NAT ne peut pas être désactivée (désactivée) sur ce pare-feu. Pour désactiver NAT, vous devez d'abord mettre à jour le pare-feu avec une politique qui n'inclut pas de règles NAT. Ce n'est qu'après cette mise à jour que vous pourrez désactiver NAT sur le pare-feu. Cela garantit que NAT est appliqué de manière cohérente et sécurisée, en fonction de la présence de règles NAT dans la politique de pare-feu associée.

Avantages et considérations :

Les règles NAT offrent plusieurs avantages, notamment une gestion efficace des adresses IP, une sécurité améliorée grâce à la traduction des adresses IP sources et la possibilité de répartir le trafic entrant pour l'équilibrage de charge. Cependant, il est crucial de tenir compte des exigences minimales en matière de bloc CIDR de sous-réseau et de l'impact des adresses IP NAT fixes sur votre infrastructure réseau.

Limites :

  • Nombre maximal de règles NAT pour chaque politique de pare-feu : 2000
Considérations importantes pour la configuration NAT :
  • Fonctionnalité NAT privée : Le pare-feu ne peut effectuer que des opérations NAT privées, la NAT publique n'est pas prise en charge.
  • Affectation d'adresse IP NAT : les adresses IP ne sont affectées qu'à partir du sous-réseau de pare-feu.
  • Taille du groupe NAT : Pour les pare-feu de 4 Gbit/s, la capacité NAT nécessite un minimum de 4 adresses IP de rechange sur le sous-réseau de pare-feu. Pour un pare-feu de 25 Gbit/s, il nécessite un minimum de 5 adresses IP de rechange. Nous recommandons de réserver des adresses IP supplémentaires pour tenir compte de la croissance future du groupe NAT.
  • Prise en charge de NAT source : seule la NAT source est prise en charge. NAT de destination non prise en charge.
  • NAT/PAT dynamique : NAT/PAT dynamique Plusieurs à un est pris en charge, offrant une flexibilité dans le traitement de plusieurs connexions. Le service NAT statique en tête-à-tête n'est pas pris en charge.
  • Compatibilité IPv4 : Seules les adresses IPv4 sont prises en charge pour NAT; IPv6 n'est pas pris en charge.

Voir aussi