Documentazione dell'infrastruttura Oracle Cloud

Creazione di elenchi di criteri firewall

Gli elenchi sono elementi di base che consentono di raggruppare applicazioni, servizi, URL o indirizzi da utilizzare in una regola.

Tutti gli elementi di un elenco vengono trattati allo stesso modo quando vengono utilizzati in una regola. Ad esempio, per creare una regola che neghi l'accesso a URL dannosi noti, è possibile creare una lista di URL denominata URL malevoli. È quindi possibile creare una regola che neghi l'accesso all'intero elenco come gruppo.

Per includere qualsiasi elemento in una regola, è necessario prima aggiungerlo a un elenco. È quindi possibile fare riferimento all'elenco in una regola. È possibile creare un elenco contenente un singolo elemento.

Informazioni sulle liste di applicazioni

Crea applicazioni ed elenchi di applicazioni per consentire o negare il traffico a un gruppo di applicazioni.

Un'applicazione è definita da una firma basata sui protocolli utilizzati. L'ispezione di livello 7 viene utilizzata per identificare le applicazioni corrispondenti.

Per definire un'applicazione vengono utilizzati i parametri riportati di seguito.

  • Nome: un nome univoco definito per l'applicazione
  • Protocollo: ICMP o ICMPv6
  • ICMP o ICMPv6 Tipo: ad esempio, risposta 0-Echo, 3-Destinazione non raggiungibile, 5-Reindirizzamento, 8-Echo
  • Codice ICMP o ICMPv6: ad esempio, 0-Net non raggiungibile, 1-Host non raggiungibile, 2-Protocollo non raggiungibile, 3-Port non raggiungibile

Per ulteriori informazioni sui tipi e i codici ICMP, vedere Parametri ICMP (Internet Control Message Protocol).

Limiti:
  • Numero massimo di liste di applicazioni per ogni criterio: 2.500
  • Numero massimo di applicazioni in una singola lista: 200
  • Numero totale massimo di applicazioni per un criterio: 6.000

Dopo aver creato le applicazioni, è possibile aggiungerle a un elenco di applicazioni nel criterio. Impossibile aggiungere applicazioni da un criterio a una lista in un criterio diverso. L'applicazione deve essere creata all'interno di ogni criterio in cui si desidera utilizzarla.

Per creare un elenco di applicazioni, vedere Creare un elenco di applicazioni.

Informazioni sulle liste di servizi

Creare servizi e liste di servizi per consentire o negare il traffico a un gruppo di servizi. Un servizio viene identificato da una firma basata sulle porte utilizzate. L'ispezione di livello 4 viene utilizzata per identificare i servizi corrispondenti.

Per definire un servizio vengono utilizzati i parametri riportati di seguito.
  • Nome: un nome univoco definito per il servizio.
  • Protocollo: TCP o UDP.
  • Intervallo porte: un numero o un intervallo di porte, ad esempio "1433", "80-8080" o "22-22". Ogni servizio può contenere al massimo 10 intervalli di porte.
Limiti:
  • Numero massimo di liste di servizi per ogni criterio: 2.000
  • Numero massimo di servizi in una singola lista: 200
  • Numero totale massimo di servizi per un criterio: 1.900

Dopo aver creato i servizi, è possibile aggiungerli a un elenco di servizi nel criterio. Impossibile aggiungere servizi da un criterio a un elenco in un criterio diverso. Il servizio deve essere creato all'interno di ogni criterio in cui si desidera utilizzarlo.

Per creare una lista di servizi, vedere Creare una lista di servizi.

Informazioni sugli elenchi di URL

Creare liste di URL per consentire o negare il traffico a un gruppo di URL. È possibile creare fino a 1.000 liste di URL in un criterio. Una lista può contenere al massimo 1.000 URL. Ogni URL viene inserito nella propria riga dell'elenco. È possibile utilizzare caratteri jolly come asterischi (*) e caret (^) in un URL per personalizzare la corrispondenza. Non immettere informazioni sul protocollo, ad esempio http:// o https://. Di seguito sono riportati alcuni esempi.

  • Un carattere jolly asterisco (*) corrisponde a uno o più livelli di sottodominio variabile. La voce corrisponde ai sottodomini aggiuntivi all'inizio dell'URL. Ad esempio: *.example.com e *.example.com/ corrispondono a www.example.com e www.docs.example.com.

  • Un carattere jolly caret (^) corrisponde esattamente a un livello di sottodominio variabile. Ad esempio: mail.^.com corrisponde a mail.example.com ma non a mail.example.sso.com.

  • Per evitare un comportamento di corrispondenza non intenzionale, si consiglia di aggiungere una barra finale (/) quando si intende eseguire la corrispondenza solo all'interno di un dominio. Ad esempio: *.example.com/ o ^.example.com/ corrisponde agli URL all'interno di example.com.

  • Per trovare una corrispondenza con più domini di primo livello, utilizzare .* nella posizione TLD. Ad esempio: example.co.* corrisponde a example.co.in, example.co.eu e a domini simili.

Nota

Per trovare una corrispondenza tra i pattern di URL che includono percorsi e parametri di query, è necessario abilitare la decifrazione.

Vedere anche Linee guida per le eccezioni di categoria URL.

Di seguito è riportato un esempio di elenco di URL. 
www.example.com
production1.example.com
production2.example.com
www.example.net
www.example.biz
[1080:0:0:0:8:800:200C:417A]:8080/index.html
1080:0:0:0:8:800:200C:417A/index.html
*.example.com
Limiti:
  • Numero massimo di liste di URL per ogni criterio: 1.000
  • Numero massimo di URL in una singola lista: 1,000
  • Numero totale massimo di URL per un criterio: 25.000

Per creare una lista di URL, vedere Creare una lista di URL.

Informazioni sulle liste di indirizzi

Creare una lista di indirizzi ai quali si desidera consentire o negare l'accesso. È possibile specificare singoli indirizzi IP IPv4 o IPv6 oppure utilizzare i blocchi CIDR in una lista di indirizzi IP. Ogni indirizzo viene inserito sulla propria riga nell'elenco.

Nota

Gli indirizzi FQDN sono disponibili solo per casi d'uso specifici. Per utilizzare gli indirizzi FQDN per le liste di indirizzi, Creare una richiesta di servizio.

Ecco un esempio di lista di indirizzi IP:

10.0.0.0/16
10.1.0.0/24
10.2.0.0/24
10.3.0.0/24
10.4.0.0/24
10.5.0.0/24
2001:DB8::/32
2603:c020:0:6a00::/56
2603:c020:0:6aa1::/64

Ecco un esempio di lista di indirizzi FQDN:

mymail.example1.edu
server.example.org
myhost.mydomain.net
database1.privatesubnet1.abccorpvcn1.oraclevcn.com
subneta.vcn1.oraclevcn.com
Limiti:
  • Numero massimo di liste di indirizzi per ogni criterio: 20.000 liste di indirizzi IP, 2.000 liste di FQDN
  • Numero massimo di indirizzi in una singola lista: 1.000

Per creare un elenco di indirizzi, vedere Creare un elenco di indirizzi.

Informazioni sull'importazione di massa degli elenchi

È possibile utilizzare un file JSON per importare in blocco liste di indirizzi, liste di URL, servizi ed elenchi di servizi, applicazioni ed elenchi di applicazioni.

Per importare in blocco un elenco, vedere Importa componenti dei criteri firewall.