Documentazione dell'infrastruttura Oracle Cloud

Aggiungere una regola di ispezione tunnel a un criterio firewall

Le regole di ispezione tunnel contengono un set di criteri in base ai quali viene trovata una corrispondenza a un pacchetto di rete e quindi viene ispezionato.

Prima di poter creare una regola di ispezione del tunnel, è necessario creare elenchi di indirizzi.

La condizione di corrispondenza di origine e destinazione specificata per il traffico è costituita da elenchi configurati nel criterio prima di creare la regola. È possibile creare al massimo 500 regole di ispezione tunnel per ogni criterio.

Quando viene soddisfatta la condizione di corrispondenza di origine e destinazione specificata, il firewall applica un profilo di ispezione tunnel Palo Alto Networks® predefinito. Il profilo presenta le seguenti caratteristiche e non è modificabile:

  • Protocollo: VXLAN
  • Livelli massimi di ispezione del tunnel: viene ispezionato un livello di incapsulamento
  • Restituisci il tunnel VXLAN sottoposto a scansione all'origine: True. Restituisce il pacchetto incapsulato nell'endpoint del tunnel VXLAN (VTEP) di origine.
    1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Firewall selezionare Criteri firewall di rete.
    2. Selezionare il compartimento contenente il criterio firewall a cui si desidera aggiungere una regola di decifrazione.
    3. Selezionare la polizza.
    4. Nella pagina dei dettagli selezionare la scheda Regole.
    5. Nella tabella Regole ispezione tunnel selezionare Crea regola ispezione tunnel.
    6. Immettere le informazioni per la regola:
      • Nome: immettere un nome per la regola di ispezione del tunnel. Evitare di fornire informazioni riservate.
      • Condizione di corrispondenza: specificare gli indirizzi di origine e di destinazione che devono corrispondere affinché la regola diventi effettiva. È possibile selezionare qualsiasi elenco di indirizzi creato. Se non è già stato creato alcun elenco di indirizzi, selezionare Crea elenco di indirizzi dal menu Azioni e vedere Crea un elenco di indirizzi.
      • Azione regola: specificare l'azione che si desidera eseguire se viene soddisfatta la condizione di corrispondenza.
        • Ispeziona: esegue l'ispezione del tunnel sul traffico corrispondente.
        • Ispeziona e acquisisci log: esegue l'ispezione del tunnel sul traffico corrispondente e genera i log per la sessione del tunnel.
      • Ordine delle regole: selezionare la posizione della regola in relazione ad altre regole di ispezione del tunnel nel criterio. Il firewall applica le regole di ispezione del tunnel nell'ordine specificato dal primo all'ultimo.

        L'opzione Posizione personalizzata è abilitata solo se si creano più regole di ispezione tunnel. Se la si seleziona, specificare se si desidera che la regola venga prima di una regola esistente o dopo una regola esistente. Specificare quindi la regola esistente che si desidera venga prima o dopo la nuova regola.

    7. Selezionare Crea regola ispezione tunnel.

  • Utilizzare il comando network-firewall tunnel-inspection-rule create e i parametri richiesti per creare una regola di ispezione del tunnel:

    oci network-firewall tunnel-inspection-rule create --name my_tunnel-inspection_rule --network-firewall-policy-id network firewall policy OCID
--condition '[{"sourceAddress":"IP_address"},{"destinationAddress":"IP_address"}]' ...[OPTIONS]

    Per un elenco completo dei parametri e dei valori per i comandi CLI, consultare il manuale CLI Command Reference.

  • Eseguire l'operazione <<<API LINK PLACEHOLDER>> per creare una regola di ispezione tunnel.