Oracle Cloud Infrastructureドキュメント

ファイアウォール・ポリシーへのトンネル検査ルールの追加

トンネル検査ルールには、ネットワーク・パケットの照合と検査を行うための一連の基準が含まれています。

トンネル検査ルールを作成する前に、アドレス・リストを作成する必要があります。

トラフィックの指定されたソースと宛先の一致条件は、ルールを構築する前にポリシーで構成するリストで構成されます。ポリシーごとに最大500個のトンネル検査ルールを作成できます。

指定したソースと宛先の一致条件が満たされると、ファイアウォールはデフォルトのPalo Alto Networks®トンネル検査プロファイルを適用します。プロファイルには次の特性があり、編集できません:

  • プロトコル: VXLAN
  • 最大トンネル検査レベル: 1レベルのカプセル化が検査されます
  • スキャンしたVXLANトンネルをソースに戻します: True。カプセル化されたパケットを元のVXLANトンネルエンドポイント(VTEP)に返します。
    1. ナビゲーション・メニューを開き、「アイデンティティおよびセキュリティ」を選択します。「ファイアウォール」で、「ネットワーク・ファイアウォール・ポリシー」を選択します。
    2. 復号化ルールを追加するファイアウォール・ポリシーを含むコンパートメントを選択します。
    3. ポリシーを選択します。
    4. 詳細ページで、「ルール」タブを選択します。
    5. 「トンネル検査ルール」表内から、「トンネル検査ルールの作成」を選択します。
    6. ルールの情報を入力します。
      • 名前:トンネル検査ルールの名前を入力します。機密情報を入力しないでください。
      • 一致条件:ルールを有効にするために一致する必要があるソース・アドレスと宛先アドレスを指定します。作成した任意のアドレス・リストを選択できます。アドレス・リストをまだ作成していない場合は、「アクション」メニューから「アドレス・リストの作成」を選択し、「アドレス・リストの作成」を参照してください。
      • ルール・アクション:一致条件が満たされた場合に実行する処理を指定します:
        • 検査: 一致するトラフィックに対してトンネル検査を実行します。
        • ログの検査と取得: 一致するトラフィックに対してトンネル検査を実行し、トンネルセッションのログを生成します。
      • ルールの順序: ポリシー内の他のトンネル検査ルールに対するルールの位置を選択します。ファイアウォールは、指定された順序でトンネル検査ルールを最初から最後まで適用します。

        「カスタム位置」は、複数のトンネル検査ルールを作成した場合にのみ有効になります。このルールを選択する場合は、このルールを既存のルールより前にするか、既存のルールの後にするかを指定します。次に、新しいルールの後または前に来る既存のルールを指定します。

    7. 「トンネル検査ルールの作成」を選択します。

  • トンネル検査ルールを作成するには、network-firewall tunnel-inspection-rule createコマンドと必要なパラメータを使用します:

    oci network-firewall tunnel-inspection-rule create --name my_tunnel-inspection_rule --network-firewall-policy-id network firewall policy OCID
--condition '[{"sourceAddress":"IP_address"},{"destinationAddress":"IP_address"}]' ...[OPTIONS]

    CLIコマンドのパラメータおよび値の完全なリストは、CLIコマンド・リファレンスを参照してください。

  • <<<API LINK PLACEHOLDER>>操作を実行して、トンネル検査ルールを作成します。