ファイアウォール・ポリシーの作成および管理
ファイアウォール・ポリシーを作成して、ファイアウォールがネットワーク・トラフィックを検査、許可または拒否する方法を制御するために作成するファイアウォール・ポリシー・ルールを格納します。
ファイアウォールを作成する前にファイアウォール・ポリシーを作成します。すべてのファイアウォールには、少なくとも1つのファイアウォール・ポリシーが関連付けられている必要があります。
ファイアウォール・ポリシーを作成すると、通常のネットワーク・ファイアウォール・サービスの制限および制限が適用されます。
ファイアウォール・ポリシー・ルール・コンポーネントについて
ファイアウォール・ポリシーを作成したら、ファイアウォール・ポリシー・ルールの作成準備を開始します。ファイアウォール・ポリシー・ルール・コンポーネントを使用すると、ファイアウォール・ポリシー・ルールで使用するアプリケーション、サービス、URLまたはアドレスをグループ化するリストを作成できます。リスト内のすべての項目は、ルールで使用される場合、同じように扱われます。リストは、ルールで参照できます。
ルール・コンポーネントには、復号化プロファイルを含めることもできます。マップされたシークレットを含む復号化プロファイルを作成して、SSL転送プロキシとSSLインバウンド検証でセッション・モードのチェック、サーバーのチェックおよび失敗のチェックがどのように実行されるかを制御します。
ファイアウォール・ポリシー・ルールについて
ファイアウォール・ポリシー・ルールは、ファイアウォールとのネットワーク・トラフィックを許可または拒否するファイアウォール・ポリシーに対して定義する一連の基準です。次のタイプのファイアウォール・ポリシー・ルールを作成できます。
- トラフィックを復号化する復号化ルール
- トラフィックを許可またはブロックするセキュリティ・ルール
- トラフィックを検査するトンネル検査ルール
ファイアウォール・ポリシーを作成し、ファイアウォール・ポリシー・ルールを定義しない場合、すべてのネットワーク・トラフィックが拒否されます。
- 暗号化ルールは、常にセキュリティ・ルールの前に適用されます。
- 暗号化ルールおよびセキュリティ・ルールは、ユーザーが定義できる優先順位を使用して適用されます。
- ファイアウォールによって、復号化ルールが優先度リストの順序で評価されます。
- 復号化ルールがパケット情報に一致すると、指定したルール・アクションがファイアウォールによって適用されます。
- ルール・アクションが適用されると、ファイアウォールではそれ以上の復号化ルールは評価されません。
- パケット情報が復号化ルールに一致しない場合、ファイアウォールはパケットを復号化しません。
- ファイアウォールによって、セキュリティ・ルールが優先度リストの順序で評価されます。
- セキュリティ・ルールがパケット情報に一致すると、指定したルール・アクションがファイアウォールによって適用されます。
- ルール・アクションが適用されると、ファイアウォールではそれ以上のセキュリティ・ルールは評価されません。
- パケット情報がセキュリティ・ルールに一致しない場合、ファイアウォールはパケットを削除します。
ルールはオプションですが、ファイアウォールで使用するポリシーに少なくとも1つのルールが指定されていない場合、ファイアウォールはすべてのネットワーク・トラフィックを拒否します。
デフォルトでは、新規に作成する各ルールが優先順位リストの最初のルールになります。優先順位はいつでも変更できます。
復号化ルールについて
復号化ルールは、指定されたソース、宛先、またはその両方からのトラフィックを復号化します。トラフィックの指定されたソースと宛先の一致条件は、ルールを構築する前にポリシーで構成するアドレス・リストで構成されます。
指定されたソースと宛先の照合条件が一致すると、ファイアウォールはルール・アクションを実行します。次の操作を選択できます。
- SSL転送プロキシを含むトラフィックを復号化
- SSLインバウンド検証を含むトラフィックを復号化
- トラフィックを復号化しないでください。
復号化を選択した場合、トラフィックを復号化する際に適用する復号化プロファイルおよびマップされたシークレットを選択します。ルールを構築する前に、ポリシーで復号化プロファイルおよびマップされたシークレットを構成します。デフォルトでは、復号化ルールの優先順位は作成順です。優先順位を変更できます。
- 各ポリシーの復号化ルールの最大数: 1,000
復号化ルールのシークレットおよびプロファイル
ファイアウォール・ポリシーで、証明書認証を使用する復号化ルールを使用する場合は、マップされたシークレットおよび復号化プロファイルを設定する必要があります。
マップされたシークレットは、Vaultサービスで作成し、インバウンドまたはアウトバウンドSSLキーにマップするシークレットです。このシークレットは、SSL転送プロキシおよびSSLインバウンド検証を使用してSSL/TLSトラフィックを暗号化および検証するために使用されます。
SSL転送プロキシまたはSSLインバウンド検査を使用する予定の場合は、ルールを含むポリシーの構成を開始する前に、vaultおよびシークレットを設定します。ネットワーク・トラフィックの復号化および検査の設定を参照してください。
暗号化プロファイルは、SSL転送プロキシとSSLインバウンド検証でセッション・モードのチェック、サーバーのチェックおよび失敗のチェックがどのように実行されるかを制御します。
- 期限切れ証明書をブロック:サーバーの証明書が期限切れの場合にセッションをブロックします。このオプションは、安全でない可能性のあるサイトへのアクセスを防止します。このオプションを選択しない場合、ユーザーは悪意のある可能性があるサイトに接続して処理でき、接続を試みると警告メッセージが表示されますが、接続は防止されません。
- 信頼されていない発行者をブロック:サーバーの証明書が信頼されていない認証局(CA)によって発行されている場合、セッションをブロックします。信頼されていない発行者は、man-in-the-middle攻撃、リプレイ攻撃、またはその他の攻撃を示している可能性があります。
- タイムアウトした証明書をブロック:証明書ステータス・チェックがタイムアウトした場合にセッションをブロックします。証明書ステータス・チェックでは、失効サーバーの証明書失効リスト(CRL)を使用するか、オンライン証明書ステータス・プロトコル(OCSP)を使用して、証明書を発行したCAがそれを取り消したかどうかを確認します。失効サーバーの応答が遅くなる場合があり、証明書が有効であってもセッションがタイムアウトする可能性があります。
- サポートされていない暗号をブロック: SSLハンドシェイクで指定されたSSL暗号スイートがサポートされていない場合にセッションをブロックします。
- サポートされていないバージョンをブロック: SSLハンドシェイクで指定されたSSLバージョンがサポートされていない場合、セッションをブロックします。
- 不明な証明書をブロック:証明書のステータスが「不明」として返された場合、セッションをブロックします。証明書ステータスは多くの理由で不明となる可能性があるため、このオプションは、一般的なセキュリティではなく、ネットワークのセキュリティが強化された領域で使用してください。
- 証明書の拡張を制限:拡張をキー用途と拡張キー用途に制限します。このオプションは、デプロイメントに他の証明書拡張が必要ない場合にのみ使用します。
- 代替名を自動的に含める:サーバー証明書がない場合に、サブジェクト代替名(SAN)を偽装証明書に自動的に追加します。
- リソースがない場合にブロック:使用可能な処理リソースが不足している場合にセッションをブロックします。このオプションを使用しない場合、暗号化されたトラフィックは暗号化されたままネットワークに入るため、危険な接続となる可能性があります。このオプションを使用すると、サイトが一時的にアクセス不能になることで、ユーザー・エクスペリエンスが影響を受ける可能性があります。
- バージョンがサポートされていないセッションをブロック:弱いバージョンのSSLプロトコルを持つセッションをブロックします。
- サポートされていない暗号をブロック: SSLハンドシェイクで指定されたSSL暗号スイートがサポートされていない場合にセッションをブロックします。
- リソースがない場合にブロック:使用可能な処理リソースが不足している場合にセッションをブロックします。このオプションを使用しない場合、暗号化されたトラフィックは暗号化されたままネットワークに入るため、危険な接続となる可能性があります。このオプションを使用すると、サイトが一時的にアクセス不能になることで、ユーザー・エクスペリエンスが影響を受ける可能性があります。
- 各ポリシーのマップされたシークレットの最大数: 300
- 各ポリシーのSSLインバウンド・マップ済シークレットの最大数: 300
- 各ポリシーのSSL転送プロキシ・マップ済シークレットの最大数: 1
- 各ポリシーの復号化プロファイルの最大数: 500
マップされたシークレットを作成するには、マップされたシークレットの作成を参照してください。
復号化プロファイルを作成するには、暗号化プロファイルの作成を参照してください。
セキュリティ・ルールについて
ファイアウォールでは、セキュリティ・ルールを使用して、許可またはブロックされるネットワーク・トラフィックを決定します。各ルールには、ルールを適用するためにパケット情報が一致する必要がある一連の基準が含まれています。これは、ルール一致条件と呼ばれます。
ソースと宛先のアドレス、アプリケーション、サービスまたはURLに基づいて照合するようにセキュリティ・ルールを構成できます。トラフィックの指定されたソースと宛先の一致条件は、ルールを構築する前にポリシーで構成するリストで構成されます。
セキュリティ・ルールに一致基準が定義されていない場合(ルールに空のリストが指定されている場合)、ルールはワイルドカード(任意の)基準に一致します。この動作は、ルールで調べられたすべてのトラフィックに適用されます。
- トラフィックを許可: トラフィックの続行は許可されます。
- トラフィックの削除:トラフィックはサイレントに削除され、リセットの通知は送信されません。
- トラフィックを拒否:トラフィックは削除され、リセット通知が送信されます。
- 侵入検出:トラフィックが記録されます。
- 侵入防止:トラフィックがブロックされます。
- 各ポリシーのセキュリティ・ルールの最大数: 10,000
トンネル検査ルールについて
トンネル検査ルールを使用して、仮想テスト・アクセス・ポイント・サービスを使用してOracleリソースにミラー化されたトラフィックを検査します。仮想テスト・アクセス・ポイント(VTAP)ソースで取得されたトラフィックは、VXLANにカプセル化され、VTAPターゲットに送信されます。
すべてのトラフィックをミラー化することも、取得フィルタを使用して関心のあるトラフィックのみをミラー化することもできます。
指定したソースと宛先の一致条件が満たされると、ファイアウォールはデフォルトのPalo Alto Networks®トンネル検査プロファイルを適用します。プロファイルには次の特性があり、編集できません。
- 名前: VXLAN
- タイプ:
- スキャンしたVXLANトンネルをソースに戻します: True。カプセル化されたパケットを元のVXLANトンネルエンドポイント(VTEP)に返します。
トンネル検査ログは、ファイアウォールを通過するミラー化されたVXLANトラフィックに関する情報を提供します。
- 各ポリシーの最大トンネル検査ルール数: 500
NATルールについて
NATルールは、ネットワーク・トラフィックでのネットワーク・トラフィックの変換または変更方法を制御する強力な手順セットであり、IPアドレスの管理とセキュリティの強化のための柔軟で効率的なソリューションを提供します。NATルールを使用すると、ファイアウォール・ポリシー内で順序付けされたルールのセットを構成して、多対1ソース・ネットワーク・アドレス変換(SNAT)を実行できます。ソース・アドレスと宛先アドレスをサービスとともに、特定のトラフィックのルール一致基準として定義できます。
ファイアウォールはプライベートNAT操作のみを実行でき、パブリックNATはサポートされていません。
ファイアウォールのNATの有効化
ファイアウォールでNATを有効にするには、4Gビット/秒ファイアウォールのファイアウォールサブネットで少なくとも4つのスペアIPが使用可能であり、25Gビット/秒ファイアウォールで少なくとも5つのスペアIPが使用可能であることを確認します。
NATルールを適用すると、ルール操作内の特定の順序で適用されます。NATルールは、復号化、セキュリティおよびトンネル・ルールの後に適用され、包括的でセキュアなネットワーク管理プロセスが保証されます。
ファイアウォールポリシーを作成し、NATルールを含める場合は、それをファイアウォールに割り当ててNAT機能を有効にできます。ファイアウォールは、NATルールを使用して、定義されたNATルールに一致するトラフィックに対してプライベート・ソース・アドレス変換を実行します。
次を使用して、ファイアウォールでNATを有効にできます。
- コンソール: コンソールを使用してファイアウォール・ポリシーをファイアウォールに関連付けると、NATが自動的に有効になります。
- CLI/API : CLIまたはAPIを使用する場合、ファイアウォール・ポリシーを関連付けた後に、ファイアウォールのNATを明示的に有効にする必要があります。これにより、NATがいつどのように起動するかを正確に制御できます。
NAT規則の評価および適用:
NATルールは、優先順位に基づいて評価されます。トラフィックがファイアウォールを通過すると、ルールは順番に処理され、最初の一致ルールが適用されます。これにより、最も特定または最も高い優先度ルールが有効になるため、ネットワーク・アドレス変換を正確に制御できます。ファイアウォールは、指定されたソースと宛先の照合条件が満たされたときにNATを実行し、定義されたルールに従ってトラフィックが変換されるようにします。
ファイアウォールでのNATの無効化:
NATルールを含むファイアウォールポリシーがファイアウォールに接続されたあとは、そのファイアウォールでNATを無効に(オフに)することはできません。NATを無効にするには、まずNAT規則を含まないポリシーでファイアウォールを更新する必要があります。この更新後にのみ、ファイアウォールでNATを無効にできます。これにより、アタッチされたファイアウォール・ポリシーにNATルールが存在することに基づいて、NATが一貫して安全に適用されることが保証されます。
利点と考慮事項:
NATルールには、効率的なIPアドレス管理、ソースIPアドレス変換によるセキュリティの強化、ロード・バランシングのために受信トラフィックを分散する機能など、いくつかの利点があります。ただし、サブネットの最小CIDR要件および固定NAT-IPがネットワーク・インフラストラクチャに与える影響を考慮することが重要です。
制限:
- 各ファイアウォール・ポリシーに対するNATルールの最大数: 2000
- プライベートNAT機能: ファイアウォールはプライベートNAT操作のみを実行でき、パブリックNATはサポートされていません。
- NAT IP割当て: IPはファイアウォール・サブネットからのみ割り当てられます。
- NATプール・サイズ: 4Gbpsのファイアウォールの場合、NAT機能には、ファイアウォール・サブネット上の最小4つのスペアIPが必要です。25Gbpsのファイアウォールの場合、最低5つのスペアIPが必要です。将来のNATプールの成長に対応するために、追加のIPを予約することをお勧めします。
- ソースNATサポート: ソースNATのみがサポートされます。宛先NATはサポートされていません。
- 動的NAT/PAT: 動的多対1 NAT/PATがサポートされ、複数の接続を柔軟に処理できます。静的1対1 NATはサポートされていません。
- IPv4の互換性: IPv4アドレスのみがNATでサポートされます。IPv6はサポートされていません。