Documentation Oracle Cloud Infrastructure

Ajout d'une règle d'inspection de tunnel à une stratégie de pare-feu

Les règles d'inspection de tunnel contiennent un ensemble de critères selon lequel un paquet réseau est mis en correspondance, puis inspecté.

Pour pouvoir créer une règle d'inspection de tunnel, vous devez créer des listes d'adresses.

La condition de correspondance entre la source et la destination spécifiées pour le trafic se compose de listes que vous configurez dans la stratégie avant de construire la règle. Vous pouvez créer un maximum de 500 règles d'inspection de tunnel pour chaque stratégie.

Lorsque la condition de correspondance source et destination spécifiée est remplie, le pare-feu applique un profil d'inspection de tunnel Palo Alto Networks® par défaut. Le profil présente les caractéristiques suivantes et n'est pas modifiable :

  • Protocole : VXLAN
  • Niveaux maximum d'inspection de tunnel : un niveau d'encapsulation est inspecté
  • Renvoyer le tunnel VXLAN scanné à la source : True. Renvoie le paquet encapsulé à l'extrémité de tunnel VXLAN d'origine (VTEP).
    1. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Pare-feu, sélectionnez Stratégies de pare-feu réseau.
    2. Sélectionnez le compartiment contenant la stratégie de pare-feu à laquelle ajouter une règle de décryptage.
    3. Sélectionnez la police.
    4. Sur la page de détails, sélectionnez l'onglet Règles.
    5. Dans la table Règles d'inspection de tunnel, sélectionnez Créer une règle d'inspection de tunnel.
    6. Entrez les informations relatives à la règle :
      • Nom : entrez le nom de la règle d'inspection de tunnel. Evitez de saisir des informations confidentielles.
      • Condition de correspondance : indiquez les adresses source et de destination qui doivent correspondre pour l'application de la règle. Vous pouvez sélectionner n'importe quelle liste d'adresses que vous avez créée. Si vous n'avez pas encore créé de liste d'adresses, sélectionnez Créer une liste d'adresses dans le menu Actions et reportez-vous à Créer une liste d'adresses.
      • Action sur la règle : indiquez l'action à effectuer si la condition de correspondance est remplie :
        • Inspecter : effectue une inspection de tunnel sur le trafic correspondant.
        • Inspecter et capturer le journal : effectue une inspection de tunnel sur le trafic correspondant et génère des journaux pour la session de tunnel.
      • Ordre des règles : sélectionnez la position de la règle par rapport aux autres règles d'inspection de tunnel de la stratégie. Le pare-feu applique les règles d'inspection de tunnel dans l'ordre spécifié, du premier au dernier.

        L'option Position personnalisée est activée uniquement si vous créez plusieurs règles d'inspection de tunnel. Si vous la sélectionnez, indiquez si vous souhaitez que cette règle soit antérieure à une règle existante ou postérieure à une règle existante. Indiquez ensuite la règle existante que vous voulez que la nouvelle règle apparaisse avant ou après.

    7. Sélectionnez Créer une règle d'inspection de tunnel.

  • Utilisez la commande network-firewall tunnel-inspection-rule create et les paramètres requis pour créer une règle d'inspection de tunnel :

    oci network-firewall tunnel-inspection-rule create --name my_tunnel-inspection_rule --network-firewall-policy-id network firewall policy OCID
--condition '[{"sourceAddress":"IP_address"},{"destinationAddress":"IP_address"}]' ...[OPTIONS]

    Pour obtenir la liste complète des paramètres et des valeurs des commandes de la CLI, reportez-vous à Référence des commandes de la CLI.

  • Exécutez l'opération <<<API LINK PLACEHOLDER>>> pour créer une règle d'inspection de tunnel.