ネットワーク・ファイアウォール・ポリシー・コンポーネントの作成
ネットワーク・ファイアウォール・ポリシーのコンポーネントは、セキュリティおよび復号化ルールの作成に役立ちます。ポリシーがファイアウォールに関連付けられている場合、ファイアウォールはルールを使用してネットワーク・トラフィックを処理します。
このトピックでは、ポリシーで作成できる様々なタイプのコンポーネント・リソースについて説明します。まず、リスト、シークレットおよび復号化プロファイルを作成し、それを使用してポリシーのルールを作成します。各ポリシーのコンポーネント・リソースは、そのポリシー内でのみ使用できます。別のポリシーでコンポーネント・リソースを使用するには、そのポリシーでコンポーネント・リソースを再作成する必要があります。
名前の一部はPalo Alto Networks®によって予約されています。予約名のポリシー・コンポーネントを作成すると、プロセスはエラーで失敗します。Reserved Namesを参照してください。
- ファイアウォールは、復号化ルールを優先度リストの順序で評価します。
- 復号化ルールがパケット情報に一致すると、指定したルール・アクションがファイアウォールによって適用されます。
- ルール・アクションが適用されると、ファイアウォールではそれ以上の復号化ルールは評価されません。
- パケット情報が復号化ルールに一致しない場合、ファイアウォールによってパケットが復号化されません。
- ファイアウォールは、セキュリティ・ルールを優先度リストの順序で評価します。
- セキュリティ・ルールがパケット情報に一致すると、指定したルール・アクションがファイアウォールによって適用されます。
- ルール・アクションが適用されると、ファイアウォールではそれ以上のセキュリティ・ルールは評価されません。
- パケット情報がセキュリティ・ルールに一致しない場合、ファイアウォールはパケットを削除します。
- ルールはオプションですが、ファイアウォールで使用するポリシーに少なくとも1つのルールが指定されていない場合、ファイアウォールによってすべてのネットワーク・トラフィックが拒否されます。
- デフォルトでは、作成する新しいルールが優先順位リストの最初のルールになります。優先順位はいつでも変更できます。
リスト
リストは、ルールで使用するアプリケーション、サービス、URLまたはアドレスをグループ化できるビルディング・ブロックです。
リスト内のすべての項目は、ルールで使用される場合、同じように処理されます。たとえば、既知の悪意のあるURLへのアクセスを拒否するルールを作成するには、「悪意のあるURL」というURLリストを作成します。次に、グループとしてリスト全体へのアクセスを拒否するルールを作成できます。
ルールにアイテムを含めるには、最初にリストに追加する必要があります。このリストは、ルールで参照できます。単一の項目を含むリストを作成できます。
アプリケーションおよびアプリケーション・リスト
アプリケーションおよびアプリケーション・リストを作成して、アプリケーションのグループへのトラフィックを許可または拒否します。
アプリケーションは、使用するプロトコルに基づいて署名によって定義されます。レイヤー7検査は、一致するアプリケーションを識別するために使用されます。
アプリケーションを定義するには、次のパラメータを使用します。
- 名前:アプリケーションに定義する一意の名前
- プロトコル: ICMP、または ICMPv6
- ICMPまたはICMPv6タイプ:たとえば、0- エコーの応答、3- 宛先に到達できません、5- リダイレクト、8- エコー
- ICMPまたはICMPv6コード:たとえば、0-Net unreachable、1-Host unreachable、2-Protocol unreachable、3-Port unreachableです
ICMPタイプおよびコードの詳細は、Internet Control Message Protocol (ICMP)パラメータを参照してください。
- ポリシーごとのアプリケーション・リストの最大数: 2,500
- 単一リスト内のアプリケーションの最大数: 200
- ポリシーのアプリケーションの最大合計数: 6,000
アプリケーションおよびアプリケーション・リストを一度に1つずつ作成することも、JSONファイルを使用して複数を同時にインポートすることもできます。ネットワーク・ファイアウォール・ポリシー・コンポーネントの一括インポートを参照してください。
アプリケーションを作成したら、ポリシー内のアプリケーション・リストに追加できます。あるポリシーから別のポリシーのリストにアプリケーションを追加することはできません。アプリケーションは、使用する各ポリシー内に作成する必要があります。
アプリケーションおよびアプリケーション・リストのタスク
サービスおよびサービス・リスト
サービスおよびサービス・リストを作成して、サービス・グループへのトラフィックを許可または拒否します。サービスは、使用するポートに基づいて署名によって識別されます。レイヤー4検査は、一致するサービスを識別するために使用されます。
- 名前:サービスに定義する一意の名前。
- プロトコル: TCPまたはUDP。
- ポート範囲:「1433」、「80-8080」、「22-22」などのポート番号または範囲。各サービスには、最大10のポート範囲を含めることができます。
- 各ポリシーのサービス・リストの最大数: 2,000
- 単一リスト内のサービスの最大数: 200
- ポリシーのサービスの最大合計数: 1,900
サービスおよびサービス・リストは一度に1つずつ作成することも、JSONファイルを使用して複数を同時にインポートすることもできます。ネットワーク・ファイアウォール・ポリシー・コンポーネントの一括インポートを参照してください。
サービスを作成したら、ポリシーのサービス・リストに追加できます。あるポリシーから別のポリシーのリストにサービスを追加することはできません。サービスは、使用する各ポリシー内に作成する必要があります。
サービスおよびサービス・リストのタスク
URLリスト
URLリストを作成して、URLのグループへのトラフィックを許可または拒否します。ポリシーには最大1,000個のURLリストを作成できます。各リストには最大1,000個のURLを含めることができます。各URLは、リスト内の個別の行に入力されます。URLでアスタリスク(*)やカレット(^)などのワイルドカードを使用して、一致をカスタマイズできます。http://やhttps://などのプロトコル情報を入力しないでください。
-
アスタリスク(*)ワイルドカードは、1つ以上の変数サブドメインを示します。このエントリは、URLの最初または最後の他のサブドメインに一致します。次に例を示します:
*.example.comは、www.example.com、www.docs.example.comおよびwww.example.com.uaに一致します
*.example.com/ は、www.example.comおよびwww.docs.example.comに一致しますが、www.example.com.uaには一致しません
- キャレット(^)ワイルドカードは、単一の変数サブドメインを示します。たとえば、mail.^.comはmail.example.comに一致しますが、mail.example.sso.comには一致しません。
「URLフィルタリング・プロファイルでのワイルドカードの使用例」も参照してください。
www.example.com
production1.example.com
production2.example.com
www.example.net
www.example.biz
[1080:0:0:0:8:800:200C:417A]:8080/index.html
1080:0:0:0:8:800:200C:417A/index.html
*.example.com
- 各ポリシーのURLリストの最大数: 1,000
- 単一リスト内のURLの最大数: 1,000
- ポリシーのURLの最大合計数: 25,000
URLリストは一度に1つずつ作成することも、JSONファイルを使用して複数を同時にインポートすることもできます。ネットワーク・ファイアウォール・ポリシー・コンポーネントの一括インポートを参照してください。
URLリスト・タスク
アドレス・リスト
アクセスを許可または拒否する住所のリストを作成します。個々のIPv4またはIPv6 IPアドレスを指定するか、IPアドレス・リストでCIDRブロックを使用できます。各住所は、リスト内の個別の行に入力されます。
次に、IPアドレス・リストの例を示します。
10.0.0.0/16
10.1.0.0/24
10.2.0.0/24
10.3.0.0/24
10.4.0.0/24
10.5.0.0/24
2001:DB8::/32
2603:c020:0:6a00::/56
2603:c020:0:6aa1::/64
FQDNアドレス・リストの例を次に示します:
mymail.example1.edu
server.example.org
myhost.mydomain.net
database1.privatesubnet1.abccorpvcn1.oraclevcn.com
subneta.vcn1.oraclevcn.com
- 各ポリシーのアドレス・リストの最大数: 20,000 IPアドレス・リスト、2,000 FQDNリスト
- 単一リスト内のアドレスの最大数: 1,000
アドレス・リスト・タスク
マップされたシークレットおよび復号化プロファイル
証明書認証を使用する暗号化ルールがポリシーで使用されている場合、マップされたシークレットおよび暗号化プロファイルを設定する必要があります。
マップされたシークレットは、Oracle Cloud Infrastructure (OCI) Vaultで作成し、インバウンドまたはアウトバウンドSSLキーにマップするシークレットです。シークレットは、SSL転送プロキシまたはSSLインバウンド検証を使用してSSL/TLSトラフィックを復号化および検証するために使用されます。
SSL転送プロキシまたはSSLインバウンド検査を使用する場合は、ルールを使用したポリシーの構成を開始する前に、OCIボールトおよびシークレットを設定します。「証明書認証の設定」を参照してください。
暗号化プロファイルは、SSL転送プロキシおよびSSLインバウンド検証でセッション・モードのチェック、サーバーのチェックおよび失敗のチェックがどのように実行されるかを制御します。
- 期限切れ証明書をブロック:サーバー証明書の期限が切れている場合にセッションをブロックします。このオプションは、安全でない可能性のあるサイトへのアクセスを防止します。このオプションを選択しない場合、ユーザーは悪意がある可能性のあるサイトに接続して処理することができ、接続を試みると警告メッセージが表示されますが、接続は阻止されません。
- 信頼されていない発行者をブロック:サーバーの証明書が信頼されていない認証局(CA)によって発行された場合、セッションをブロックします。信頼されていない発行者は、中間者攻撃、リプレイ攻撃、またはその他の攻撃を示している可能性があります。
- タイムアウトした証明書をブロック:証明書ステータス・チェックがタイムアウトした場合にセッションをブロックします。証明書ステータス・チェックでは、失効サーバーの証明書失効リスト(CRL)を使用するか、オンライン証明書ステータス・プロトコル(OCSP)を使用して、証明書を発行したCAがそれを取り消したかどうかを確認します。失効サーバーの応答が遅くなる場合があり、証明書が有効であってもセッションがタイムアウトする可能性があります。
- サポートされていない暗号をブロック: SSLハンドシェイクで指定されたSSL暗号スイートがサポートされていない場合にセッションをブロックします。
- サポートされていないバージョンのブロック: SSLハンドシェイクで指定されたSSLバージョンがサポートされていない場合にセッションをブロックします。
- 不明な証明書をブロック:証明書ステータスが「不明」として返された場合、セッションをブロックします。証明書ステータスは様々な理由で不明となる可能性があるため、このオプションは、一般的なセキュリティではなく、ネットワークのセキュリティが強化された領域で使用してください。
- 証明書の拡張を制限:拡張をキー用途と拡張キー用途に制限します。このオプションは、デプロイメントに他の証明書拡張が必要ない場合にのみ使用します。
- 代替名の自動インクルード:サーバー証明書がない場合に、サブジェクト代替名(SAN)を偽装証明書に自動的に追加します。
- リソースなしの場合:使用可能な処理リソースが不足している場合にセッションをブロックします。このオプションを使用しない場合、暗号化されたトラフィックは暗号化されたままネットワークに入るため、危険な接続となる可能性があります。このオプションを使用すると、サイトが一時的にアクセス不能になることで、ユーザー・エクスペリエンスが影響を受ける可能性があります。
- バージョンがサポートされていないセッションをブロック:弱い、サポートされていないバージョンのSSLプロトコルを持つセッションをブロックします。
- サポートされていない暗号をブロック: SSLハンドシェイクで指定されたSSL暗号スイートがサポートされていない場合にセッションをブロックします。
- リソースなしの場合:使用可能な処理リソースが不足している場合にセッションをブロックします。このオプションを使用しない場合、暗号化されたトラフィックは暗号化されたままネットワークに入るため、危険な接続となる可能性があります。このオプションを使用すると、サイトが一時的にアクセス不能になることで、ユーザー・エクスペリエンスが影響を受ける可能性があります。
- ポリシーごとのマップされたシークレットの最大数: 300
- ポリシーごとのSSLインバウンド・マップ済シークレットの最大数: 300
- ポリシーごとのSSL転送プロキシ・マップ済シークレットの最大数: 1
- 各ポリシーの最大暗号化プロファイル数: 500
マップされたシークレットおよび復号化プロファイルを一度に1つずつ作成することも、JSONファイルを使用して複数を同時にインポートすることもできます。ネットワーク・ファイアウォール・ポリシー・コンポーネントの一括インポートを参照してください。
マップされたシークレットおよび暗号化プロファイルのタスク
ルール
ルールは、ネットワーク・パケットが照合される一連の基準です。ルールはポリシーに構成され、ポリシーはファイアウォールに関連付けられます。ファイアウォールでは、関連付けられたポリシー内のルールに従ってトラフィックを許可または拒否します。
- 復号化ルールは、常にセキュリティ・ルールの前に適用されます。
- 暗号化ルールおよびセキュリティ・ルールは、定義可能な優先順位を使用して適用されます。
暗号化ルール
復号化ルールは、指定されたソース、宛先、またはその両方からのトラフィックを復号化します。トラフィックの指定されたソースと宛先の一致条件は、ルールを構築する前にポリシーで構成するアドレス・リストで構成されます。
指定されたソースと宛先の一致条件を満たすと、ファイアウォールはルール・アクションを実行します。次の処理を実行できます。
- SSL転送プロキシを含むトラフィックを復号化
- SSLインバウンド検証を含むトラフィックを復号化
- トラフィックを復号化しない。
復号化を選択した場合、トラフィックを復号化する際に適用する復号化プロファイルおよびマップされたシークレットを選択します。ルールを構築する前に、ポリシーで復号化プロファイルおよびマップされたシークレットを構成します。デフォルトでは、復号化ルールの優先順位は作成順です。優先順位は変更できます。
- 各ポリシーの復号化ルールの最大数: 1,000
復号化ルールは一度に1つずつ作成することも、JSONファイルを使用して一度に複数をインポートすることもできます。ネットワーク・ファイアウォール・ポリシー・コンポーネントの一括インポートを参照してください。
復号化ルールのタスク
セキュリティ ルール
ファイアウォールでは、セキュリティ・ルールを使用して、許可またはブロックされるネットワーク・トラフィックを決定します。各ルールには、ルールを適用するためにパケット情報が一致する必要がある一連の基準が含まれています。これはルール一致条件と呼ばれます。
ソースと宛先のアドレス、アプリケーション、サービスまたはURLに基づいて照合するようにセキュリティ・ルールを構成できます。トラフィックの指定されたソースと宛先の一致条件は、ルールを構築する前にポリシーで構成するリストで構成されます。
セキュリティ・ルールに一致基準が定義されていない場合(ルールに空のリストが指定されている場合)、ルールはワイルドカード(任意の)基準に一致します。この動作は、ルールで調べられたすべてのトラフィックに適用されます。
- トラフィックの許可: トラフィックの続行は許可されます。
- トラフィックの削除:トラフィックはサイレントに削除され、リセットの通知は送信されません。
- トラフィックの拒否: トラフィックは削除され、リセット通知が送信されます。
- 侵入検出:トラフィックがログに記録されます。
- 侵入防止:トラフィックがブロックされます。
- 各ポリシーの最大セキュリティ・ルール数: 10,000
セキュリティ・ルールは一度に1つずつ作成することも、JSONファイルを使用して複数を同時にインポートすることもできます。ネットワーク・ファイアウォール・ポリシー・コンポーネントの一括インポートを参照してください。