Documentazione dell'infrastruttura Oracle Cloud

Aggiungere una regola di ispezione tunnel a un criterio firewall

Le regole di ispezione tunnel contengono un set di criteri in base ai quali viene trovata una corrispondenza a un pacchetto di rete e quindi viene ispezionato.

Prima di poter creare una regola di ispezione del tunnel, creare elenchi di indirizzi.

La condizione di corrispondenza di origine e destinazione specificata per il traffico è costituita da elenchi configurati nel criterio prima di creare la regola. È possibile creare al massimo 500 regole di ispezione tunnel per ogni criterio.

Quando viene soddisfatta la condizione di corrispondenza di origine e destinazione specificata, il firewall applica un profilo di ispezione tunnel Palo Alto Networks® predefinito. Il profilo presenta le seguenti caratteristiche e non è modificabile:

  • Protocollo: VXLAN
  • Livelli massimi di ispezione del tunnel: viene ispezionato un livello di incapsulamento
  • Restituisci il tunnel VXLAN sottoposto a scansione all'origine: True. Restituisce il pacchetto incapsulato nell'endpoint del tunnel VXLAN (VTEP) di origine.
    1. Nel menu di navigazione, selezionare Identità e sicurezza. Andare a Firewall, selezionare Criteri firewall di rete.
    2. Selezionare la polizza.
    3. In Risorse criterio, selezionare Regole di ispezione tunnel.
    4. Selezionare Crea regola ispezione tunnel.
    5. Immettere le informazioni per la regola di sicurezza:
      • Nome: immettere un nome per la regola di ispezione del tunnel.
      • Condizione di corrispondenza: specificare gli indirizzi origine e destinazione che corrispondono per rendere effettiva la regola. È possibile selezionare qualsiasi elenco di indirizzi creato. Se non sono ancora state create liste di indirizzi, selezionare Crea lista di indirizzi e utilizzare queste istruzioni per crearne una.
      • Ordine regole: selezionare la posizione della regola in relazione ad altre regole di ispezione tunnel nel criterio. Il firewall applica le regole di ispezione del tunnel nell'ordine specificato dalla prima all'ultima. È possibile specificare le posizioni delle regole riportate di seguito.
        • Prima regola della lista
        • Ultima regola della lista
        • Posizione personalizzata (abilitata solo se si creano più regole di ispezione tunnel).
        Se si seleziona Posizione personalizzata, specificare se si desidera che la regola venga impostata su Prima di una regola esistente oppure su Dopo una regola esistente. Specificare quindi la regola esistente che si desidera venga applicata prima o dopo la nuova regola.
    6. Selezionare Crea regola ispezione tunnel.

  • Utilizzare il comando network-firewall tunnel-inspection-rule create e i parametri richiesti per creare una regola di ispezione del tunnel:

    oci network-firewall tunnel-inspection-rule create --name my_tunnel-inspection_rule --network-firewall-policy-id network firewall policy OCID
--condition '[{"sourceAddress":"IP_address"},{"destinationAddress":"IP_address"}]' ...[OPTIONS]

    Per un elenco completo dei parametri e dei valori per i comandi CLI, consultare il manuale CLI Command Reference.

  • Eseguire l'operazione <<<API LINK PLACEHOLDER>> per creare una regola di ispezione tunnel.