Documentazione dell'infrastruttura Oracle Cloud

Creazione e gestione dei criteri del firewall

Creare criteri firewall per memorizzare le regole dei criteri firewall create per controllare il modo in cui un firewall ispeziona, consente o nega il traffico di rete.

Creare criteri firewall prima di creare firewall. A ogni firewall deve essere associato almeno un criterio firewall.

Quando si crea un criterio firewall, vengono applicati i normali limiti e limitazioni del servizio Network Firewall.

Informazioni sui componenti delle regole dei criteri firewall

Dopo aver creato un criterio firewall, iniziare a prepararsi per creare le regole dei criteri firewall. I componenti delle regole dei criteri firewall consentono di creare elenchi per raggruppare applicazioni, servizi, URL o indirizzi da utilizzare in una regola dei criteri firewall. Tutti gli elementi di un elenco vengono trattati allo stesso modo quando vengono utilizzati in una regola. È quindi possibile fare riferimento all'elenco in una regola.

Un componente della regola può includere anche profili di decifrazione. Crea un profilo di decifrazione con un segreto mappato per controllare il modo in cui il proxy di inoltro SSL e l'ispezione SSL in entrata eseguono controlli della modalità sessione, controlli del server e controlli degli errori.

Informazioni sulle regole dei criteri firewall

Una regola dei criteri firewall è un set di criteri definiti per un criterio firewall per consentire o negare il traffico di rete con un firewall. È possibile creare i tipi di regole dei criteri firewall riportati di seguito.

  • Regole di decifrazione per decifrare il traffico
  • Regole di sicurezza per consentire o bloccare il traffico
  • Regole di ispezione del tunnel per ispezionare il traffico

Se si crea un criterio firewall e non si definiscono regole dei criteri firewall, tutto il traffico di rete verrà negato.

Le regole vengono applicate a un pacchetto di rete utilizzando i seguenti criteri specifici:
  • Le regole di decifrazione vengono sempre applicate prima delle regole di sicurezza.
  • Le regole di decifrazione e di sicurezza vengono applicate utilizzando un ordine di priorità che è possibile definire
Dopo aver associato un criterio a un firewall, il firewall inizia a consentire o negare il traffico in base alle regole del criterio come indicato di seguito.
  1. Il firewall valuta le regole di decifrazione nell'ordine della lista di priorità.
  2. Quando una regola di decifrazione corrisponde alle informazioni sul pacchetto, il firewall applica l'azione della regola specificata.
  3. Quando viene applicata un'azione regola, il firewall non valuta ulteriori regole di decifrazione.
  4. Se le informazioni del pacchetto non corrispondono ad alcuna regola di decifrazione, il firewall non decifra il pacchetto.
  5. Il firewall valuta le regole di sicurezza in ordine di elenco priorità.
  6. Quando una regola di sicurezza corrisponde alle informazioni sul pacchetto, il firewall applica l'azione della regola specificata.
  7. Quando viene applicata un'azione regola, il firewall non valuta ulteriori regole di sicurezza.
  8. Se le informazioni del pacchetto non corrispondono ad alcuna regola di sicurezza, il firewall elimina il pacchetto.

Le regole sono facoltative, ma se per il criterio utilizzato con un firewall non è stata specificata almeno una regola, il firewall nega tutto il traffico di rete.

Per impostazione predefinita, ogni nuova regola creata diventa la prima nell'elenco di priorità. È possibile modificare l'ordine di priorità in qualsiasi momento.

Informazioni sulle regole di decifrazione

Le regole di decifrazione decifrano il traffico da un'origine, una destinazione o entrambi specificati. La condizione di corrispondenza di origine e destinazione specificata per il traffico è costituita da liste di indirizzi configurate nel criterio prima di creare la regola.

Quando viene soddisfatta la condizione di corrispondenza di origine e destinazione specificata, il firewall esegue l'azione della regola. È possibile scegliere di eseguire le azioni riportate di seguito.

  • Decifra il traffico con il proxy di inoltro SSL
  • Decifra il traffico con l'ispezione SSL in entrata
  • Non decifrare il traffico.

Se si sceglie di decifrare, si sceglie un profilo di decifrazione e un segreto mappato da applicare durante la decifrazione del traffico. È possibile configurare i profili di decifrazione e i segreti mappati nel criterio prima di creare la regola. Per impostazione predefinita, l'ordine di priorità delle regole di decifrazione è l'ordine di creazione. È possibile modificare l'ordine di priorità.

Limiti:
  • Numero massimo di regole di decifrazione per ogni criterio: 1.000

Segreti e profili per le regole di decifrazione

Se un criterio firewall utilizza regole di decifrazione che utilizzano l'autenticazione dei certificati, è necessario impostare i segreti mappati e i profili di decifrazione.

I segreti mappati sono segreti creati nel servizio Vault e quindi mappati alle chiavi SSL in entrata o in uscita. I segreti vengono utilizzati per decifrare e ispezionare il traffico SSL/TLS con proxy di inoltro SSL e ispezione in entrata SSL.

Se si prevede di utilizzare il proxy di inoltro SSL o l'ispezione SSL in entrata, impostare un vault e dei segreti prima di iniziare a configurare un criterio con regole. Vedere Impostazione della decrittazione e dell'ispezione del traffico di rete.

I profili di cifratura controllano il modo in cui il proxy di inoltro SSL e l'ispezione SSL in entrata eseguono controlli della modalità sessione, controlli del server e controlli degli errori.

Per i profili di decifrazione proxy di inoltro SSL sono disponibili le opzioni riportate di seguito.
  • Blocca certificato scaduto: blocca le sessioni se il certificato del server è scaduto. Questa opzione impedisce l'accesso a siti potenzialmente non sicuri. Se questa opzione non è selezionata, gli utenti possono connettersi ed eseguire transazioni con siti potenzialmente dannosi e visualizzare messaggi di avvertenza quando tentano di connettersi, ma la connessione non è impedita.
  • Blocca emittente non accettato come sicuro: blocca le sessioni se il certificato del server viene emesso da un'autorità di certificazione (CA) non accettata come sicura. Un emittente non attendibile potrebbe indicare un attacco di tipo man-in-the-middle, un attacco di ripetizione o altro attacco.
  • Certificato timeout blocco: blocca le sessioni se si verifica il timeout del check-out dello stato del certificato. I controlli dello stato dei certificati utilizzano l'elenco di revoca dei certificati (CRL) su un server di revoca o utilizzano il protocollo OSP (Online Certificate Status Protocol) per verificare se la CA che ha emesso il certificato lo ha revocato. I server di revoca possono essere lenti a rispondere, il che può causare il timeout della sessione, anche se il certificato è valido.
  • Blocca cifratura non supportata: blocca le sessioni se la suite di cifratura SSL specificata nell'handshake SSL non è supportata.
  • Blocca versione non supportata: blocca le sessioni se la versione SSL specificata nell'handshake SSL non è supportata.
  • Blocca certificato sconosciuto: blocca le sessioni se lo stato del certificato viene restituito come "unknown". Lo stato del certificato potrebbe essere sconosciuto per molti motivi, pertanto utilizzare questa opzione nelle aree con maggiore sicurezza della rete anziché per la sicurezza generale.
  • Limitare le estensioni dei certificati: limita le estensioni all'uso delle chiavi e all'uso esteso delle chiavi. Utilizzare questa opzione solo se la distribuzione non richiede altre estensioni certificato.
  • Includi automaticamente un nome alternativo: aggiunge automaticamente un nome SAN (Subject Alternative Name) al certificato di rappresentazione se manca il certificato del server.
  • Blocca in assenza di risorse: blocca le sessioni se non sono disponibili risorse di elaborazione sufficienti. Se non si utilizza questa opzione, il traffico crittografato entra nella rete ancora crittografato, rischiando connessioni potenzialmente pericolose. L'utilizzo di questa opzione potrebbe influire sull'esperienza utente rendendo temporaneamente irraggiungibili i siti.
Per i profili di decifrazione delle ispezioni in entrata SSL sono disponibili le opzioni riportate di seguito.
  • Blocca sessioni con versioni non supportate: blocca le sessioni con una versione debole e non supportata del protocollo SSL.
  • Blocca cifratura non supportata: blocca le sessioni se la suite di cifratura SSL specificata nell'handshake SSL non è supportata.
  • Blocca in assenza di risorse: blocca le sessioni se non sono disponibili risorse di elaborazione sufficienti. Se non si utilizza questa opzione, il traffico crittografato entra nella rete ancora crittografato, rischiando connessioni potenzialmente pericolose. L'utilizzo di questa opzione potrebbe influire sull'esperienza utente rendendo temporaneamente irraggiungibili i siti.
Limiti:
  • Numero massimo di segreti mappati per ogni criterio: 300
  • Numero massimo di segreti mappati SSL in entrata per ogni criterio: 300
  • Numero massimo di segreti mappati al proxy di inoltro SSL per ogni criterio: 1
  • Numero massimo di profili di decifrazione per ogni criterio: 500

Per creare un segreto mappato, vedere Creare un segreto mappato.

Per creare un profilo di decifrazione, vedere Crea un profilo di decifrazione.

Informazioni sulle regole di sicurezza

I firewall utilizzano le regole di sicurezza per decidere quale traffico di rete è consentito o bloccato. Ogni regola contiene un set di criteri che le informazioni sui pacchetti devono soddisfare per applicare la regola. Questa è la condizione di corrispondenza delle regole.

È possibile configurare una regola di sicurezza in modo che corrisponda in base all'indirizzo di origine e di destinazione, all'applicazione, al servizio o all'URL. La condizione di corrispondenza di origine e destinazione specificata per il traffico è costituita da elenchi configurati nel criterio prima di creare la regola.

Importante

Se nella regola di sicurezza non sono definiti criteri di corrispondenza (per la regola viene specificata una lista vuota), la regola corrisponde ai criteri con caratteri jolly ("qualsiasi"). Questo comportamento si applica a tutto il traffico esaminato nella regola.
L'azione della regola definisce il modo in cui il firewall gestisce il pacchetto se corrisponde alle condizioni specificate. Il firewall può eseguire le azioni riportate di seguito.
  • Consenti traffico: il traffico può continuare.
  • Elimina traffico: il traffico viene eliminato in background e non viene inviata alcuna notifica di reimpostazione.
  • Rifiuta traffico: il traffico viene eliminato e viene inviata una notifica di reimpostazione.
  • Rilevamento dell'intrusione: il traffico viene registrato.
  • Prevenzione dell'intrusione: il traffico è bloccato.
    Importante

    Per utilizzare il rilevamento e la prevenzione delle intrusioni, abilitare il log. Vedere Log delle attività del firewall.
Limiti:
  • Numero massimo di regole di sicurezza per ogni criterio: 10.000

Informazioni sulle regole di ispezione del tunnel

Utilizzare le regole di ispezione del tunnel per ispezionare il traffico con mirroring su una risorsa Oracle utilizzando il servizio Punto di accesso di test virtuale. Il traffico acquisito nell'origine VTAP (Virtual Test Access Point) viene incapsulato nella VXLAN e quindi inviato alla destinazione VTAP.

È possibile eseguire il mirroring di tutto il traffico oppure utilizzare un filtro di acquisizione per riflettere solo il traffico a cui si è interessati.

Quando viene soddisfatta la condizione di corrispondenza di origine e destinazione specificata, il firewall applica un profilo di ispezione tunnel Palo Alto Networks® predefinito. Il profilo presenta le seguenti caratteristiche e non è modificabile:

  • Nome: VXLAN
  • Tipo:
  • Restituisci il tunnel VXLAN sottoposto a scansione all'origine: True. Restituisce il pacchetto incapsulato nell'endpoint del tunnel VXLAN (VTEP) di origine.

Il log di ispezione del tunnel fornisce informazioni sul traffico VXLAN con mirroring che passa attraverso il firewall.

Limiti:
  • Numero massimo di regole di ispezione tunnel per ogni criterio: 500

Informazioni sulle regole NAT

Le regole NAT sono un potente set di istruzioni che regolano il modo in cui il traffico di rete viene tradotto o modificato nel traffico di rete, offrendo una soluzione flessibile ed efficiente per la gestione degli indirizzi IP e il miglioramento della sicurezza. Con le regole NAT, è possibile configurare un set ordinato di regole all'interno del criterio firewall per eseguire la conversione degli indirizzi di rete di origine molti-a-uno (SNAT). È possibile definire gli indirizzi di origine e di destinazione, insieme ai servizi, come criteri di corrispondenza delle regole per un traffico specifico.

Creando un criterio firewall e incorporando regole NAT, è possibile implementare Source Network Address Translation (SNAT) sul traffico in uscita, cambiando in modo efficace l'indirizzo IP di origine in un pool di indirizzi SNAT che nascondono i dettagli della rete interna. Quando NAT è abilitato, gli IP a NAT fisso vengono allocati automaticamente dalla subnet del firewall. Attualmente, le regole NAT supportano solo IPv4.
Importante

Il firewall può eseguire solo operazioni NAT private, il NAT pubblico non è supportato.

Abilitazione NAT sui firewall:

Per abilitare NAT sui firewall, assicurarsi che nella subnet del firewall siano disponibili almeno quattro IP di riserva per un firewall da 4 Gbps e almeno cinque IP di riserva per un firewall da 25 Gbps.

Quando applicano le regole NAT, vengono applicate in un ordine specifico all'interno delle operazioni della regola. Le regole NAT vengono applicate dopo la decifrazione, la sicurezza e le regole del tunnel, garantendo un processo di gestione della rete completo e sicuro.

Quando si crea un criterio firewall e si includono regole NAT, è possibile assegnarlo a un firewall per abilitare la funzionalità NAT. Utilizzando le regole NAT, il firewall esegue la traduzione di indirizzi di origine privati per il traffico che corrisponde alle regole NAT definite.

È possibile abilitare NAT sui firewall utilizzando:

  • Console: quando si utilizza la console per associare un criterio firewall a un firewall, NAT viene abilitato automaticamente.
  • CLI/API : quando si utilizza l'interfaccia CLI o l'API, è necessario abilitare NAT in modo esplicito per il firewall dopo aver associato il criterio firewall. Ciò garantisce un controllo preciso su quando e come NAT viene attivato.

Valutazione e applicazione regola NAT:

Le regole NAT vengono valutate in base all'ordine di priorità. Quando il traffico passa attraverso il firewall, le regole vengono elaborate in sequenza e viene applicata la prima regola di corrispondenza. Ciò garantisce che la regola di priorità più specifica o più alta abbia effetto, fornendoti un controllo preciso sulla traduzione degli indirizzi di rete. Il firewall esegue NAT quando vengono soddisfatte le condizioni di corrispondenza di origine e destinazione specificate, assicurando che il traffico venga tradotto in base alle regole definite.

Disabilitazione di NAT sui firewall:

Tenere presente che dopo che un criterio firewall contenente regole NAT è collegato a un firewall, NAT non può essere disabilitato (disattivato) su tale firewall. Per disabilitare NAT, è innanzitutto necessario aggiornare il firewall con un criterio che non include regole NAT. Solo dopo questo aggiornamento è possibile disabilitare NAT sul firewall. Ciò garantisce che NAT venga applicato in modo coerente e sicuro, in base alla presenza di regole NAT nel criterio firewall allegato.

Vantaggi e considerazioni:

Le regole NAT offrono diversi vantaggi, tra cui una gestione efficiente degli indirizzi IP, una maggiore sicurezza attraverso la traduzione degli indirizzi IP di origine e la possibilità di distribuire il traffico in entrata per il bilanciamento del carico. Tuttavia, è fondamentale considerare i requisiti CIDR minimi della subnet e l'impatto degli IP Fixed-NAT sulla tua infrastruttura di rete.

Limiti:

  • Numero massimo di regole NAT per ogni criterio firewall: 2000
Considerazioni importanti per la configurazione NAT:
  • Funzionalità NAT privata: il firewall può eseguire solo operazioni NAT private, NAT pubblico non supportato.
  • Allocazione IP NAT: gli IP vengono assegnati solo dalla subnet del firewall in modo esclusivo.
  • Dimensione pool NAT: per i firewall da 4 Gbps, la funzionalità NAT richiede almeno 4 IP di riserva nella subnet del firewall. Per il firewall da 25 Gbps, richiede almeno 5 IP di riserva. Si consiglia di riservare IP aggiuntivi per soddisfare la futura crescita del pool NAT.
  • Supporto NAT di origine: è supportato solo NAT di origine. NAT di destinazione non supportato.
  • NAT/PAT dinamico: NAT/PAT dinamico da molti a uno è supportato, offrendo flessibilità nella gestione di più connessioni. NAT uno a uno statico non supportato.
  • Compatibilità IPv4: solo gli indirizzi IPv4 sono supportati per NAT; IPv6 non è supportato.

Vedere anche.