Documentation Oracle Cloud Infrastructure

Créer des listes de stratégies de pare-feu

Les listes sont des blocs fonctionnels qui vous permettent de regrouper des applications, des services, des URL ou des adresses à utiliser dans une règle.

Tous les éléments d'une liste sont traités de la même façon lorsqu'ils sont utilisés dans une règle. Par exemple, pour créer une règle qui refuse l'accès aux URL malveillantes connues, vous pouvez créer une liste d'URL appelée URL malveillantes. Vous pouvez ensuite créer une règle qui refuse l'accès à la liste entière en tant que groupe.

Pour inclure un élément dans une règle, vous devez d'abord l'ajouter à une liste. La liste peut ensuite être référencée dans une règle. Vous pouvez créer une liste contenant un seul élément.

A propos des listes d'applications

Créez des applications et des listes d'applications pour autoriser ou refuser le trafic vers un groupe d'applications.

Une application est définie par une signature basée sur les protocoles qu'elle utilise. L'inspection de couche 7 est utilisée pour identifier les applications correspondantes.

Les paramètres suivants sont utilisés pour définir une application :

  • Nom : nom unique que vous définissez pour l'application.
  • Protocole : ICMP ou ICMPv6
  • ICMP ou ICMPv6 Type : par exemple, 0-Réponse d'écho, 3-Destination inaccessible, 5-Redirection, 8-Echo.
  • Code ICMP ou ICMPv6 : par exemple, 0-Réseau inaccessible, 1-Hôte inaccessible, 2-Protocole inaccessible, 3-Port inaccessible.

Pour plus d'informations sur les types et codes ICMP, reportez-vous à la section Internet Control Message Protocol (ICMP) Parameters.

Limites:
  • Nombre maximal de listes d'applications pour chaque police : 2 500
  • Nombre maximal d'applications dans une seule liste : 200
  • Nombre total maximal d'applications pour une stratégie : 6 000

Une fois les applications créées, vous pouvez les ajouter à une liste d'applications dans la stratégie. Vous ne pouvez pas ajouter d'applications d'une stratégie à une liste d'une autre stratégie. L'application doit être créée dans chaque stratégie dans laquelle vous voulez l'utiliser.

Pour créer une liste d'applications, reportez-vous à Création d'une liste d'applications.

A propos des listes de services

Créez des services et des listes de services pour autoriser ou refuser le trafic vers un groupe de services. Un service est identifié par une signature basée sur les ports qu'il utilise. L'inspection de couche 4 est utilisée pour identifier les services correspondants.

Les paramètres suivants sont utilisés pour définir un service :
  • Nom : nom unique que vous définissez pour le service.
  • Protocole : TCP ou UDP.
  • Plage de ports : numéro ou plage de ports, par exemple, "1433", "80-8080" ou "22-22". Chaque service peut contenir jusqu'à 10 plages de ports.
Limites:
  • Nombre maximal de listes de services pour chaque stratégie : 2 000
  • Nombre maximal de services dans une seule liste : 200
  • Nombre total maximal de services pour une stratégie : 1 900

Après avoir créé des services, vous pouvez les ajouter à une liste de services dans la stratégie. Vous ne pouvez pas ajouter de services d'une stratégie à une liste d'une autre stratégie. Le service doit être créé dans chaque stratégie dans laquelle vous voulez l'utiliser.

Pour créer une liste de services, reportez-vous à Création d'une liste de services.

A propos des listes d'URL

Créez des listes d'URL pour autoriser ou refuser le trafic vers un groupe d'URL. Vous pouvez créer jusqu'à 1 000 listes d'URL dans une stratégie. Chaque liste peut contenir 1 000 URL au maximum. Chaque URL est saisie sur sa propre ligne dans la liste. Vous pouvez utiliser des caractères génériques tels que les astérisques (*) et le caret (^) dans une URL pour personnaliser la correspondance. Ne saisissez pas d'informations de protocole telles que http :// ou https ://.

  • Un caractère générique astérisque (*) indique des sous-domaines variables. L'entrée met en correspondance tous les autres sous-domaines au début ou à la fin de l'URL. Exemples :

    *.example.com met en correspondance www.example.com, www.docs.example.com et www.example.com.ua.

    *.example.com/ met en correspondance www.example.com et www.docs.example.com, mais pas www.example.com.ua.

  • Un caractère générique caret (^) indique un sous-domaine variable unique. Par exemple, mail.^.com met en correspondance mail.example.com mais pas mail.example.sso.com.

Reportez-vous également à Exemple d'utilisation de caractères génériques dans les profils de filtrage d'URL.

Voici un exemple de liste d'URL : 
www.example.com
production1.example.com
production2.example.com
www.example.net
www.example.biz
[1080:0:0:0:8:800:200C:417A]:8080/index.html
1080:0:0:0:8:800:200C:417A/index.html
*.example.com
Limites:
  • Nombre maximal de listes d'URL pour chaque stratégie : 1 000
  • Nombre maximal d'URL dans une seule liste : 1 000
  • Nombre total maximal d'URL pour une stratégie : 25 000

Pour créer une liste d'URL, reportez-vous à Création d'une liste d'URL.

A propos des listes d'adresses

Créez une liste d'adresses auxquelles vous souhaitez autoriser ou refuser l'accès. Vous pouvez indiquer des adresses IP IPv4 ou IPv6 individuelles, ou utiliser des blocs CIDR dans une liste d'adresses IP. Chaque adresse est saisie sur sa propre ligne dans la liste.

Remarque

Les adresses de nom de domaine qualifié complet sont disponibles uniquement pour des cas d'emploi spécifiques. Pour utiliser des adresses de nom de domaine qualifié complet pour les listes d'adresses, créez une demande de service.

Voici un exemple de liste d'adresses IP :

10.0.0.0/16
10.1.0.0/24
10.2.0.0/24
10.3.0.0/24
10.4.0.0/24
10.5.0.0/24
2001:DB8::/32
2603:c020:0:6a00::/56
2603:c020:0:6aa1::/64

Voici un exemple de liste d'adresses de nom de domaine qualifié complet :

mymail.example1.edu
server.example.org
myhost.mydomain.net
database1.privatesubnet1.abccorpvcn1.oraclevcn.com
subneta.vcn1.oraclevcn.com
Limites:
  • Nombre maximal de listes d'adresses pour chaque stratégie : 20 000 listes d'adresses IP, 2 000 listes de noms de domaine qualifiés complets
  • Nombre maximal d'adresses dans une seule liste : 1 000

Pour créer une liste d'adresses, reportez-vous à la rubrique Création d'une liste d'adresses.

A propos de l'importation en masse de listes

Vous pouvez utiliser un fichier JSON pour importer en masse des listes d'adresses, des listes d'URL, des listes de services et de services, des applications et des listes d'applications.

Pour importer une liste en masse, reportez-vous à Import de composants de stratégie de pare-feu.