Documentazione dell'infrastruttura Oracle Cloud

Modelli per l'importazione dei componenti dei criteri firewall

Scaricare i modelli di file JSON e utilizzarli per importare i componenti dei criteri firewall di rete, ad esempio liste di indirizzi, liste di URL, servizi e liste di servizi, applicazioni e liste di applicazioni, regole e profili di decifrazione, segreti mappati, regole NAT e regole di sicurezza.

I modelli JSON consentono di importare in blocco i componenti dei criteri firewall di rete, ad esempio liste di indirizzi, liste di URL, servizi ed elenchi di servizi, applicazioni ed elenchi di applicazioni, regole e profili di decifrazione, segreti mappati e regole di sicurezza in.

Questa pagina fornisce un modello JSON per ogni tipo di componente, parametri obbligatori ed eventuali vincoli di cui è necessario essere a conoscenza quando si utilizza il modello.

Per caricare i file JSON completati, vedere Importa componenti dei criteri firewall.

Importante

  • Le risorse incluse in un file JSON per il caricamento devono esistere già nel criterio prima di farvi riferimento in un'altra risorsa. Ad esempio, prima di poter caricare un elenco di applicazioni, è necessario caricare tutte le applicazioni che si desidera utilizzare nell'elenco.
  • La dimensione file massima che è possibile caricare è di 5 MB.

Modello per importare elenchi di indirizzi

Creare una lista di indirizzi ai quali si desidera consentire o negare l'accesso. È possibile specificare singoli indirizzi IP IPv4 o IPv6, blocchi CIDR o indirizzi FQDN.

Ogni elenco di indirizzi può contenere al massimo 1.000 indirizzi. Un criterio può contenere al massimo 20.000 liste di indirizzi IP e 2.000 liste di indirizzi FQDN.

Parametri obbligatori:
  • name
  • type (solo IP o FQDN )
  • addresses
Vincoli aggiuntivi:
  • Il nome deve essere univoco all'interno del criterio, iniziare con una lettera e può contenere solo lettere, numeri, spazi, un trattino (-) o un carattere di sottolineatura (_). Un trattino deve essere seguito da un carattere alfanumerico. Minimo: 2 caratteri; massimo: 28 caratteri.
  • Gli indirizzi vengono convalidati in base al tipo fornito. Non aggiungere indirizzi non validi per un tipo.

Modello per importare elenchi di applicazioni

Creare una lista di applicazioni a cui si desidera consentire o negare l'accesso. Un criterio può contenere al massimo 2.500 liste di applicazioni. Ogni lista di applicazioni può contenere al massimo 200 applicazioni.

Parametri obbligatori:
  • name
Vincoli aggiuntivi:
  • Il nome deve essere univoco all'interno del criterio, iniziare con una lettera e può contenere solo lettere, numeri, spazi, un trattino (-) o un carattere di sottolineatura (_). Un trattino deve essere seguito da un carattere alfanumerico. Minimo: 2 caratteri; massimo: 28 caratteri.
  • Se non si elenca alcuna applicazione, fornire un array vuoto per il parametro "apps" nel modello.
  • Le applicazioni devono esistere già nel criterio prima di farvi riferimento nella lista importata.

Modello per importare le applicazioni

Un'applicazione è definita da una firma basata sui protocolli utilizzati. L'ispezione di livello 7 viene utilizzata per identificare le applicazioni corrispondenti. Ogni criterio può contenere al massimo 6.000 applicazioni.

Parametri obbligatori:
  • name
  • type (solo ICMP o ICMP_V6)
  • icmpType

Vincoli aggiuntivi:

  • Il nome deve essere univoco all'interno del criterio, iniziare con una lettera e può contenere solo lettere, numeri, spazi, un trattino (-) o un carattere di sottolineatura (_). Un trattino deve essere seguito da un carattere alfanumerico. Minimo: 2 caratteri; massimo: 28 caratteri.

Modello per importare elenchi di servizi

Creare una lista di servizi a cui si desidera consentire o negare l'accesso e definire intervalli di porte per ciascuno di essi. Un criterio può contenere al massimo 2.000 liste di servizi. Una lista di servizi può contenere al massimo 200 servizi.

Parametri obbligatori:
  • name

Vincoli aggiuntivi:

  • Il nome deve essere univoco all'interno del criterio, iniziare con una lettera e può contenere solo lettere, numeri, spazi, un trattino (-) o un carattere di sottolineatura (_). Un trattino deve essere seguito da un carattere alfanumerico. Minimo: 2 caratteri; massimo: 28 caratteri.
  • Se non si elenca alcun servizio, fornire un array vuoto per il parametro services nel modello.
  • I servizi devono esistere già nel criterio prima di farvi riferimento nella lista importata.

Modello per importare i servizi

Un servizio viene identificato da una firma basata sulle porte utilizzate. L'ispezione di livello 4 viene utilizzata per identificare i servizi corrispondenti. Ogni criterio può contenere al massimo 1.900 servizi.

Parametri obbligatori:
  • name
  • type (solo TCP o UDP)
  • portRanges

Vincoli aggiuntivi:

  • Il nome deve essere univoco all'interno del criterio, iniziare con una lettera e può contenere solo lettere, numeri, spazi, un trattino (-) o un carattere di sottolineatura (_). Un trattino deve essere seguito da un carattere alfanumerico. Minimo: 2 caratteri; massimo: 28 caratteri.
  • È possibile definire un massimo di 10 intervalli di porte per ogni servizio.

Modello per importare elenchi di URL

Creare una lista di URL a cui si desidera consentire o negare l'accesso. Un criterio può contenere al massimo 1.000 liste di URL. Ogni lista può contenere al massimo 1.000 URL. Il numero massimo di URL consentiti in un criterio è 25.000.

Parametri obbligatori:
  • name
  • urls
  • type (solo SIMPLE)

Vincoli aggiuntivi:

  • Il nome deve essere univoco all'interno del criterio, iniziare con una lettera e può contenere solo lettere, numeri, spazi, un trattino (-) o un carattere di sottolineatura (_). Un trattino deve essere seguito da un carattere alfanumerico. Minimo: 2 caratteri; massimo: 28 caratteri.
  • Il valore urls non può essere un array vuoto. Fornire più oggetti URL per contenere tali URL nella lista.

Modello per importare segreti mappati

I segreti mappati sono segreti creati nel servizio Vault e quindi mappati alle chiavi SSL in entrata o in uscita. I segreti vengono utilizzati per decifrare e ispezionare il traffico SSL/TLS con proxy di inoltro SSL o ispezione in entrata SSL. Un criterio può contenere al massimo 300 segreti mappati di ispezione in entrata SSL e un massimo di un segreto mappato proxy di inoltro SSL.

Parametri obbligatori:
  • name
  • source (solo OCI_VAULT)
  • type (solo SSL_INBOUND_INSPECTION o SSL_FORWARD_PROXY)
  • vaultSecretId
  • versionNumber

Vincoli aggiuntivi:

  • Il nome deve essere univoco all'interno del criterio, iniziare con una lettera e può contenere solo lettere, numeri, spazi, un trattino (-) o un carattere di sottolineatura (_). Un trattino deve essere seguito da un carattere alfanumerico. Minimo: 6 caratteri; massimo: 58 caratteri.
  • È possibile creare un massimo di un segreto mappato di tipo SSL_FORWARD_PROXY per ogni criterio.

Modello per importare i profili di decifrazione

Crea profili di decifrazione per controllare il modo in cui il proxy di inoltro SSL e l'ispezione SSL in entrata eseguono controlli della modalità sessione, controlli del server e controlli degli errori. Un criterio può contenere al massimo 500 profili di decifrazione.

Parametri obbligatori:
  • name
  • type (solo SSL_INBOUND_INSPECTION o SSL_FORWARD_PROXY)

Parametri obbligatori aggiuntivi:

Se type è "SSL_INBOUND_INSPECTION", i seguenti parametri sono obbligatori:
  • isUnsupportedVersionBlocked (vero o falso)
  • isUnsupportedCipherBlocked (vero o falso)
  • isOutOfCapacityBlocked (vero o falso)
Se type è "SSL_FORWARD_PROXY", i seguenti parametri sono obbligatori:
  • isExpiredCertificateBlocked (vero o falso)
  • isUntrustedIssuerBlocked (vero o falso)
  • isRevocationStatusTimeoutBlocked (vero o falso)
  • isUnsupportedVersionBlocked (vero o falso)
  • isUnsupportedCipherBlocked (vero o falso)
  • isUnknownRevocationStatusBlocked (vero o falso)
  • areCertificateExtensionsRestricted (vero o falso)
  • isAutoIncludeAltName (vero o falso)
  • isOutOfCapacityBlocked (vero o falso)

Vincoli aggiuntivi:

  • Il nome deve essere univoco all'interno del criterio, iniziare con una lettera e può contenere solo lettere, numeri, spazi, un trattino (-) o un carattere di sottolineatura (_). Un trattino deve essere seguito da un carattere alfanumerico. Minimo: 2 caratteri; massimo: 63 caratteri.

Modello per importare le regole di sicurezza

Le regole di sicurezza vengono applicate dopo le regole di decifrazione. Un criterio può contenere al massimo 10.000 regole di sicurezza.

Parametri obbligatori:
  • name
  • condition
  • position
  • action (solo ALLOW, REJECT, DROP o INSPECT)

Vincoli aggiuntivi:

  • Il nome deve essere univoco all'interno del criterio, iniziare con una lettera e può contenere solo lettere, numeri, spazi, un trattino (-) o un carattere di sottolineatura (_). Un trattino deve essere seguito da un carattere alfanumerico. Minimo: 2 caratteri; massimo: 63 caratteri.
  • Se il parametro position è vuoto, la regola viene creata come prima regola nell'elenco.
  • Se un campo di condizione di corrispondenza ha un valore vuoto, fornire un array vuoto per tale campo.
  • Se ACTION è specificato come INSPECT, il parametro inspection è obbligatorio. I valori consentiti per inspection sono INTRUSION_DETECTION e INTRUSION_PREVENTION.

Modello per importare le regole di decifrazione

Le regole di decifrazione vengono applicate prima delle regole di sicurezza. Un criterio può avere al massimo 1.000 regole di decifrazione.

Parametri obbligatori:
  • name
  • condition
  • action (solo NO_DECRYPT o DECRYPT)
  • position

Vincoli aggiuntivi:

  • Il nome deve essere univoco all'interno del criterio, iniziare con una lettera e può contenere solo lettere, numeri, spazi, un trattino (-) o un carattere di sottolineatura (_). Un trattino deve essere seguito da un carattere alfanumerico. Minimo: 2 caratteri; massimo: 63 caratteri.
  • Se ACTION è specificato come DECRYPT, sono necessari i parametri decryptionProfile e mappedSecret. I valori TYPE per i valori decryptionProfile e mappedSecret specificati devono essere uguali (SSL_INBOUND_INSPECTION o SSL_FORWARD_PROXY).

Modello per importare le regole di ispezione del tunnel

Utilizza le regole di ispezione del tunnel per ispezionare il traffico con mirroring su una risorsa Oracle utilizzando il servizio VTAP (Virtual Test Access Point) OCI. Il traffico acquisito nell'origine VTAP viene incapsulato nella VXLAN e quindi inviato alla destinazione VTAP. Vedere RFC 7348. Un criterio può avere un massimo di 500 regole di ispezione tunnel.

Parametri obbligatori:
  • name
  • condition (sourceAddress, destinationAddress)
  • action (solo INSPECT or INSPECT_AND_CAPTURE_LOG)
  • position
  • protocol (solo VXLAN)
  • profile ("solo mustReturnTrafficToSource":true)

Vincoli aggiuntivi:

  • Il nome deve essere univoco all'interno del criterio, iniziare con una lettera e può contenere solo lettere, numeri, spazi, un trattino (-) o un carattere di sottolineatura (_). Un trattino deve essere seguito da un carattere alfanumerico. Minimo: 2 caratteri; massimo: 63 caratteri.

Modello per importare regole NAT

Utilizzare le regole NAT per mappare un set di indirizzi IP a un set corrispondente di indirizzi IP NAT (Network Address Translation).

Parametri obbligatori:
  • Name:
  • Type:
  • Condition:
  • Position:

Vincoli aggiuntivi:

  • Il nome deve essere univoco all'interno del criterio, iniziare con una lettera e può contenere solo lettere, numeri, spazi, un trattino (-) o un carattere di sottolineatura (_). Un trattino deve essere seguito da un carattere alfanumerico. Minimo: 2 caratteri; massimo: 63 caratteri.
  • Numero massimo di regole NAT per ogni criterio firewall: 2000