Documentation Oracle Cloud Infrastructure

Modèles pour l'importation de composants de stratégie de pare-feu

Téléchargez des modèles de fichier JSON et utilisez-les pour importer des composants de stratégie de pare-feu réseau tels que des listes d'adresses, des listes d'URL, des services et des listes de services, des applications et des listes d'applications, des règles et des profils de décryptage, des clés secrètes mises en correspondance, des règles NAT et des règles de sécurité.

Les modèles JSON vous aident à importer en masse des composants de stratégie de pare-feu réseau tels que des listes d'adresses, des listes d'URL, des services et des listes de services, des listes d'applications et d'applications, des règles et profils de décryptage, des clés secrètes mises en correspondance et des règles de sécurité.

Cette page fournit un modèle JSON pour chaque type de composant, les paramètres requis et les contraintes que vous devez connaître lorsque vous utilisez le modèle.

Pour télécharger les fichiers JSON terminés, reportez-vous à Import de composants de stratégie de pare-feu.

Important

  • Les ressources incluses dans un fichier JSON à télécharger doivent déjà exister dans la stratégie avant d'être référencées dans une autre ressource. Par exemple, avant de pouvoir charger une liste d'applications, vous devez d'abord charger toutes les applications que vous souhaitez utiliser dans la liste.
  • La taille maximale de fichier que vous pouvez télécharger est de 5 Mo.

Modèle pour importer des listes d'adresses

Créez une liste d'adresses auxquelles vous souhaitez autoriser ou refuser l'accès. Vous pouvez indiquer des adresses IP IPv4 ou IPv6 individuelles, des blocs CIDR ou des adresses de nom de domaine qualifié complet.

Chaque liste d'adresses peut contenir 1 000 adresses au maximum. Une stratégie peut contenir au maximum 20 000 listes d'adresses IP et 2 000 listes d'adresses de nom de domaine qualifié complet.

Paramètres requis :
  • name
  • type (IP ou FQDN uniquement)
  • addresses
Contraintes supplémentaires :
  • Le nom doit être unique au sein de la stratégie, commencer par une lettre et contenir uniquement des lettres, des chiffres, des espaces, un trait d'union (-) ou un trait de soulignement (_). Un tiret doit être suivi d'un caractère alphanumérique. Minimum : 2 caractères ; maximum : 28 caractères.
  • Les adresses sont validées en fonction du type fourni. N'ajoutez pas d'adresses non valides pour un type.

Modèle pour importer des listes d'applications

Créez la liste des applications auxquelles vous souhaitez autoriser ou refuser l'accès. Une stratégie peut contenir jusqu'à 2 500 listes d'applications. Chaque liste d'applications peut contenir un maximum de 200 applications.

Paramètres requis :
  • name
Contraintes supplémentaires :
  • Le nom doit être unique au sein de la stratégie, commencer par une lettre et contenir uniquement des lettres, des chiffres, des espaces, un trait d'union (-) ou un trait de soulignement (_). Un tiret doit être suivi d'un caractère alphanumérique. Minimum : 2 caractères ; maximum : 28 caractères.
  • Si vous ne répertoriez aucune application, indiquez un tableau vide pour le paramètre "apps" dans le modèle.
  • Les applications doivent déjà exister dans la stratégie avant d'être référencées dans la liste importée.

Modèle pour importer des applications

Une application est définie par une signature basée sur les protocoles qu'elle utilise. L'inspection de couche 7 est utilisée pour identifier les applications correspondantes. Chaque stratégie peut contenir jusqu'à 6 000 applications.

Paramètres requis :
  • name
  • type (ICMP ou ICMP_V6 uniquement)
  • icmpType

Contraintes supplémentaires :

  • Le nom doit être unique au sein de la stratégie, commencer par une lettre et contenir uniquement des lettres, des chiffres, des espaces, un trait d'union (-) ou un trait de soulignement (_). Un tiret doit être suivi d'un caractère alphanumérique. Minimum : 2 caractères ; maximum : 28 caractères.

Modèle pour importer des listes de services

Créez la liste des services auxquels vous voulez autoriser ou refuser l'accès et définissez des plages de ports pour chacun d'eux. Une stratégie peut contenir jusqu'à 2 000 listes de services. Une liste de services peut contenir 200 services au maximum.

Paramètres requis :
  • name

Contraintes supplémentaires :

  • Le nom doit être unique au sein de la stratégie, commencer par une lettre et contenir uniquement des lettres, des chiffres, des espaces, un trait d'union (-) ou un trait de soulignement (_). Un tiret doit être suivi d'un caractère alphanumérique. Minimum : 2 caractères ; maximum : 28 caractères.
  • Si vous ne répertoriez aucun service, fournissez un tableau vide pour le paramètre services dans le modèle.
  • Les services doivent déjà exister dans la stratégie avant d'être référencés dans la liste importée.

Modèle pour importer des services

Un service est identifié par une signature basée sur les ports qu'il utilise. L'inspection de couche 4 est utilisée pour identifier les services correspondants. Chaque stratégie peut contenir un maximum de 1 900 services.

Paramètres requis :
  • name
  • type (TCP ou UDP uniquement)
  • portRanges

Contraintes supplémentaires :

  • Le nom doit être unique au sein de la stratégie, commencer par une lettre et contenir uniquement des lettres, des chiffres, des espaces, un trait d'union (-) ou un trait de soulignement (_). Un tiret doit être suivi d'un caractère alphanumérique. Minimum : 2 caractères ; maximum : 28 caractères.
  • Vous pouvez définir un maximum de 10 plages de ports pour chaque service.

Modèle pour importer des listes d'URL

Créez une liste d'URL auxquelles autoriser ou refuser l'accès. Une stratégie peut contenir au maximum 1 000 listes d'URL. Chaque liste peut contenir 1 000 URL au maximum. Le nombre maximal d'URL autorisées dans une stratégie est de 25 000.

Paramètres requis :
  • name
  • urls
  • type (SIMPLE uniquement)

Contraintes supplémentaires :

  • Le nom doit être unique au sein de la stratégie, commencer par une lettre et contenir uniquement des lettres, des chiffres, des espaces, un trait d'union (-) ou un trait de soulignement (_). Un tiret doit être suivi d'un caractère alphanumérique. Minimum : 2 caractères ; maximum : 28 caractères.
  • urls ne peut pas être un tableau vide. Indiquez plusieurs objets URL devant contenir ces URL dans la liste.

Modèle pour importer les clés secrètes mises en correspondance

Les clés secrètes mises en correspondance sont des clés secrètes que vous créez dans le service Vault, puis que vous mettez en correspondance avec des clés SSL entrantes ou sortantes. Les clés secrètes sont utilisées pour décrypter et inspecter le trafic SSL/TLS avec le proxy de transfert SSL ou l'inspection entrante SSL. Une stratégie peut contenir au maximum 300 clés secrètes mises en correspondance avec une inspection entrante SSL et au maximum une clé secrète mise en correspondance avec un proxy de transfert SSL.

Paramètres requis :
  • name
  • source (OCI_VAULT uniquement)
  • type (SSL_INBOUND_INSPECTION ou SSL_FORWARD_PROXY uniquement)
  • vaultSecretId
  • versionNumber

Contraintes supplémentaires :

  • Le nom doit être unique au sein de la stratégie, commencer par une lettre et contenir uniquement des lettres, des chiffres, des espaces, un trait d'union (-) ou un trait de soulignement (_). Un tiret doit être suivi d'un caractère alphanumérique. Minimum : 6 caractères ; maximum : 58 caractères.
  • Vous pouvez créer au maximum une clé secrète mise en correspondance de type SSL_FORWARD_PROXY pour chaque stratégie.

Modèle permettant d'importer des profils de décryptage

Créez des profils de décryptage afin de contrôler la manière dont le proxy de transfert SSL et l'inspection entrante SSL effectuent les vérifications du mode de session, du serveur et des échecs. Une stratégie peut contenir un maximum de 500 profils de décryptage.

Paramètres requis :
  • name
  • type (SSL_INBOUND_INSPECTION ou SSL_FORWARD_PROXY uniquement)

Paramètres supplémentaires requis :

Lorsque type a la valeur "SSL_INBOUND_INSPECTION", les paramètres suivants sont obligatoires :
  • isUnsupportedVersionBlocked (true ou false)
  • isUnsupportedCipherBlocked (true ou false)
  • isOutOfCapacityBlocked (true ou false)
Lorsque type a la valeur "SSL_FORWARD_PROXY", les paramètres suivants sont obligatoires :
  • isExpiredCertificateBlocked (true ou false)
  • isUntrustedIssuerBlocked (true ou false)
  • isRevocationStatusTimeoutBlocked (true ou false)
  • isUnsupportedVersionBlocked (true ou false)
  • isUnsupportedCipherBlocked (true ou false)
  • isUnknownRevocationStatusBlocked (true ou false)
  • areCertificateExtensionsRestricted (true ou false)
  • isAutoIncludeAltName (true ou false)
  • isOutOfCapacityBlocked (true ou false)

Contraintes supplémentaires :

  • Le nom doit être unique au sein de la stratégie, commencer par une lettre et contenir uniquement des lettres, des chiffres, des espaces, un trait d'union (-) ou un trait de soulignement (_). Un tiret doit être suivi d'un caractère alphanumérique. Minimum : 2 caractères ; maximum : 63 caractères.

Modèle pour importer les règles de sécurité

Les règles de sécurité sont appliquées après les règles de décryptage. Une stratégie peut contenir jusqu'à 10 000 règles de sécurité.

Paramètres requis :
  • name
  • condition
  • position
  • action (ALLOW, REJECT, DROP ou INSPECT uniquement)

Contraintes supplémentaires :

  • Le nom doit être unique au sein de la stratégie, commencer par une lettre et contenir uniquement des lettres, des chiffres, des espaces, un trait d'union (-) ou un trait de soulignement (_). Un tiret doit être suivi d'un caractère alphanumérique. Minimum : 2 caractères ; maximum : 63 caractères.
  • Si le paramètre position est vide, la règle est créée en tant que première règle dans la liste.
  • Si un champ de condition de correspondance a une valeur vide, indiquez un tableau vide pour ce champ.
  • Si ACTION est spécifié en tant que INSPECT, le paramètre inspection est requis. Les valeurs autorisées pour inspection sont INTRUSION_DETECTION et INTRUSION_PREVENTION.

Modèle pour importer les règles de décryptage

Les règles de décryptage sont appliquées avant les règles de sécurité. Une stratégie peut comporter au maximum 1 000 règles de décryptage.

Paramètres requis :
  • name
  • condition
  • action (NO_DECRYPT ou DECRYPT uniquement)
  • position

Contraintes supplémentaires :

  • Le nom doit être unique au sein de la stratégie, commencer par une lettre et contenir uniquement des lettres, des chiffres, des espaces, un trait d'union (-) ou un trait de soulignement (_). Un tiret doit être suivi d'un caractère alphanumérique. Minimum : 2 caractères ; maximum : 63 caractères.
  • Si ACTION est spécifié en tant que DECRYPT, les paramètres decryptionProfile et mappedSecret sont requis. Les valeurs TYPE pour decryptionProfile et mappedSecret indiqués doivent être identiques (SSL_INBOUND_INSPECTION ou SSL_FORWARD_PROXY).

Modèle permettant d'importer des règles d'inspection de tunnel

Utilisez des règles d'inspection de tunnel pour inspecter le trafic mis en miroir vers une ressource Oracle à l'aide du service OCI Virtual Test Access Point (VTAP). Le trafic capturé à la source du point d'accès de test virtuel est encapsulé dans VXLAN, puis envoyé à la cible du point d'accès de test virtuel. Voir RFC 7348. Une stratégie peut comporter un maximum de 500 règles d'inspection de tunnel.

Paramètres requis :
  • name
  • condition (sourceAddress, destinationAddress)
  • action (INSPECT or INSPECT_AND_CAPTURE_LOG uniquement)
  • position
  • protocol (VXLAN uniquement)
  • profile ("mustReturnTrafficToSource":true uniquement)

Contraintes supplémentaires :

  • Le nom doit être unique au sein de la stratégie, commencer par une lettre et contenir uniquement des lettres, des chiffres, des espaces, un trait d'union (-) ou un trait de soulignement (_). Un tiret doit être suivi d'un caractère alphanumérique. Minimum : 2 caractères ; maximum : 63 caractères.

Modèle permettant d'importer des règles NAT

Utilisez les règles NAT pour mettre en correspondance un ensemble d'adresses IP avec un ensemble d'adresses IP NAT correspondant.

Paramètres requis :
  • Name:
  • Type:
  • Condition:
  • Position:

Contraintes supplémentaires :

  • Le nom doit être unique au sein de la stratégie, commencer par une lettre et ne peut contenir que des lettres, des chiffres, des espaces, un trait d'union (-) ou un trait de soulignement (_). Un trait d'union doit être suivi d'un caractère alphanumérique. Minimum : 2 caractères ; maximum : 63 caractères.
  • Nombre maximal de règles NAT pour chaque stratégie de pare-feu : 2000