Sintassi dei criteri
Un criterio ZPR (Zero Trust Packet Routing) è costituito da una o più istruzioni criteri. Un'istruzione criterio è un'espressione di intento scritta in una sintassi specifica.
Le istruzioni dei criteri ZPR utilizzano la sintassi e le regole riportate di seguito.
<src-location> <command> <endpoint> to <verb> <endpoint><src-location>è obbligatorio e deve essere nel formatoin <security attribute> VCN.<security attribute>deve essere specificato e può essere solo un singolo attributo di sicurezza.<command>deve essere consentito.<endpoint>deve esseresecurity attribute,ip address,all-endpointsoosn-services-ip-endpoints.<verb>deve essere collegato.
Ad esempio, la seguente istruzione di criteri esprime l'intento di consentire il traffico da o verso gli endpoint all'interno della stessa VCN identificata da una posizione di origine:
in app:fin-network VCN allow app:web endpoints to connect to app:store endpointsQuando si entra o si esce dalla VCN, il criterio ZPR deve fare riferimento ai client utilizzando gli indirizzi IP anziché gli attributi di sicurezza. Gli attributi di sicurezza possono essere utilizzati solo quando si fa riferimento agli endpoint nella stessa VCN.
La posizione di origine identifica la VCN in base al relativo attributo di sicurezza ed è soggetta al criterio che la fa riferimento. L'istruzione Allow si applica a ogni VCN con l'attributo di sicurezza specificato.
L'attributo di sicurezza identifica una VCN oggetto e gli endpoint all'interno della VCN oggetto. L'attributo di sicurezza è costituito da uno spazio dei nomi degli attributi di sicurezza e da una chiave degli attributi di sicurezza separati da un punto e da un valore separati da due punti:
applicationsè lo spazio di nomi degli attributi di sicurezzaappè la chiave dell'attributo di sicurezzafin-networkè il valore
Gli spazi di nomi degli attributi di sicurezza, le chiavi degli attributi di sicurezza e i valori sono vincolati da limiti specifici. È importante sottolineare che gli spazi di nomi degli attributi di sicurezza e le chiavi degli attributi di sicurezza non contengono uno spazio o un carattere punto. Tuttavia, i valori possono contenere spazi, punti e virgolette singole. Se si fa riferimento a un attributo di sicurezza il cui valore contiene più caratteri consentiti, l'intera clausola dell'attributo di sicurezza viene racchiusa tra virgolette singole. Qualsiasi singolo carattere di virgoletta nel valore deve essere preceduto da un'altra virgoletta. Ad esempio:
app:fin-network
oracle-zpr.app:fe-nodes
my-corp.biz:hr
'my-corp.biz:dev and test db'
Se lo spazio di nomi di un attributo di sicurezza viene omesso, ZPR utilizza per impostazione predefinita lo spazio di nomi
oracle-zpr.La clausola endpoint identifica l'origine o la destinazione del traffico con il set di attributi di sicurezza specificato all'interno di una VCN oggetto. La parola chiave all-endpoints indica qualsiasi endpoint all'interno o all'esterno della VCN oggetto, indipendentemente dal fatto che includa o meno attributi di sicurezza:
app:fe-nodes endpoints
oracle-zpr.app:store endpoints
my-corp.biz:hr-web endpoints
'my-corp.biz:dev and test database' endpoints
L'origine e la destinazione non possono essere entrambe
all-endpoint. È necessario identificarne uno (Elenco attributi endpoint). 
Il traffico da e verso gli endpoint può essere ulteriormente limitato in un criterio applicando un filtro basato sulla parola chiave ip-address e su uno o più attributi filtro di rete consentiti: protocol, protocol.icmp.type, protocol.icmp.code e connection-state.
ip-address o osn-services-ip-addresses può essere una destinazione o un'origine. Tuttavia, non è possibile utilizzare ip-address e osn-services-ip-addresses sia sugli endpoint di origine che su quelli di destinazione; ip-address e osn-services-ip-addresses devono essere l'origine o la destinazione. Ad esempio:
in apps:app1 VCN allow '10.0.0.0/16' to connect to apps:app1 endpoints