Documentation sur Oracle Cloud Infrastructure

Ajouter une règle d'inspection de tunnel à une politique de pare-feu

Les règles d'inspection des tunnels contiennent un ensemble de critères par rapport auxquels un paquet réseau est mis en correspondance, puis inspecté.

Avant de créer une règle d'inspection de tunnel, créez des listes d'adresses.

La condition de correspondance de la source et de la destination spécifiées pour le trafic est constituée de listes que vous configurez dans la politique avant de construire la règle. Vous pouvez créer un maximum de 500 règles d'inspection de tunnel pour chaque politique.

Lorsque la condition de correspondance entre la source et la destination spécifiées est remplie, le pare-feu applique un profil d'inspection de tunnel Palo Alto Networks® par défaut. Le profil a les caractéristiques suivantes et n'est pas modifiable :

  • Protocole : VXLAN
  • Niveaux maximum d'inspection de tunnel : Un niveau d'encapsulation est inspecté
  • Retournez le tunnel VXLAN balayé à la source : Vrai. Retourne le paquet encapsulé au point d'extrémité du tunnel VXLAN d'origine (VTEP).
    1. Dans le menu de navigation, sélectionnez Identité et sécurité. Allez à Pare-feu, sélectionnez Politiques de pare-feu de réseau.
    2. Sélectionnez la politique.
    3. Sous Ressources de politique, sélectionnez Règles d'inspection de tunnel.
    4. Sélectionnez Créer une règle d'inspection de tunnel.
    5. Entrez les informations pour la règle de sécurité :
      • Nom : entrez un nom pour la règle d'inspection de tunnel.
      • Condition de correspondance : Spécifiez les adresses source et de destination qui correspondent pour que la règle soit appliquée. Vous pouvez sélectionner l'une des listes d'adresses que vous avez créées. Si vous n'avez pas encore créé de liste d'adresses, sélectionnez Créer une liste d'adresses et utilisez ces instructions pour en créer une.
      • Ordre des règles : Sélectionnez la position de la règle par rapport aux autres règles d'inspection de tunnel dans la politique. Le pare-feu applique les règles d'inspection de tunnel dans l'ordre spécifié du premier au dernier. Vous pouvez spécifier la position des règles suivantes :
        • Première règle de la liste
        • Dernière règle de la liste
        • Position personnalisée (activée uniquement si vous créez plusieurs règles d'inspection de tunnel.)
        Si vous sélectionnez Position personnalisée, indiquez si vous voulez que la règle apparaisse avant ou après une règle existante. Spécifiez ensuite la règle existante que la nouvelle règle doit précéder ou suivre.
    6. Sélectionnez Créer une règle d'inspection de tunnel.

  • Utilisez la commande network-firewall tunnel-inspection-rule create et les paramètres requis pour créer une règle d'inspection de tunnel :

    oci network-firewall tunnel-inspection-rule create --name my_tunnel-inspection_rule --network-firewall-policy-id network firewall policy OCID
--condition '[{"sourceAddress":"IP_address"},{"destinationAddress":"IP_address"}]' ...[OPTIONS]

    Pour la liste complète des paramètres et des valeurs pour les commandes de l'interface de ligne de commande, voir Informations de référence sur les commandes de l'interface de ligne de commande.

  • Exécutez l'opération <<<API LINK PLACEHOLDER>> pour créer une règle d'inspection de tunnel.