Documentation Oracle Cloud Infrastructure

Ajout d'une règle d'inspection de tunnel à une stratégie de pare-feu

Les règles d'inspection de tunnel contiennent un ensemble de critères selon lequel un paquet réseau est mis en correspondance, puis inspecté.

Avant de pouvoir créer une règle d'inspection de tunnel, créez des listes d'adresses.

La condition de correspondance entre la source et la destination spécifiées pour le trafic se compose de listes que vous configurez dans la stratégie avant de construire la règle. Vous pouvez créer un maximum de 500 règles d'inspection de tunnel pour chaque stratégie.

Lorsque la condition de correspondance source et destination spécifiée est remplie, le pare-feu applique un profil d'inspection de tunnel Palo Alto Networks® par défaut. Le profil présente les caractéristiques suivantes et n'est pas modifiable :

  • Protocole : VXLAN
  • Niveaux maximum d'inspection de tunnel : un niveau d'encapsulation est inspecté
  • Renvoyer le tunnel VXLAN scanné à la source : True. Renvoie le paquet encapsulé à l'extrémité de tunnel VXLAN d'origine (VTEP).
    1. Dans le menu de navigation, sélectionnez Identité et sécurité. Accédez à Pare-feu, sélectionnez Stratégies de pare-feu réseau.
    2. Sélectionnez la police.
    3. Sous Ressources de stratégie, sélectionnez Règles d'inspection de tunnel.
    4. Sélectionnez Créer une règle d'inspection de tunnel.
    5. Entrez des informations pour la règle de sécurité :
      • Nom : entrez le nom de la règle d'inspection de tunnel.
      • Condition de mise en correspondance : indiquez les adresses source et de de destination qui doivent correspondre pour que la règle soit appliquée. Vous pouvez sélectionner n'importe quelle liste d'adresses que vous avez créée. Si vous n'avez pas encore créé de liste d'adresses, sélectionnez Créer une liste d'adresses et utilisez ces instructions pour en créer une.
      • Ordre des règles : Sélectionnez la position de la règle par rapport aux autres règles d'inspection de tunnel dans la stratégie. Le pare-feu applique les règles d'inspection de tunnel dans l'ordre indiqué, du premier au dernier. Vous pouvez indiquer les positions de règle suivantes :
        • Première règle de la liste
        • Dernière règle de la liste
        • Position personnalisée (activée uniquement si vous créez plusieurs règles d'inspection de tunnel.)
        Si vous sélectionnez Position personnalisée, indiquez si vous souhaitez que cette règle apparaisse avant une règle existante ou après une règle existante. Indiquez ensuite la règle existante avant ou après laquelle la nouvelle règle doit être appliquée.
    6. Sélectionnez Créer une règle d'inspection de tunnel.

  • Utilisez la commande network-firewall tunnel-inspection-rule create et les paramètres requis pour créer une règle d'inspection de tunnel :

    oci network-firewall tunnel-inspection-rule create --name my_tunnel-inspection_rule --network-firewall-policy-id network firewall policy OCID
--condition '[{"sourceAddress":"IP_address"},{"destinationAddress":"IP_address"}]' ...[OPTIONS]

    Pour obtenir la liste complète des paramètres et des valeurs des commandes de la CLI, reportez-vous à Référence des commandes de la CLI.

  • Exécutez l'opération <<<API LINK PLACEHOLDER>>> pour créer une règle d'inspection de tunnel.