Documentação do Oracle Cloud Infrastructure

Modelos para Importação de Componentes de Política do Firewall

Faça download dos modelos de arquivo JSON e use-os para importar componentes da política de firewall de rede, como listas do endereço, listas do URL, serviços e listas do serviço, aplicativos e listas do aplicativo, regras e perfis de decriptação, segredos mapeados, regras NAT e regras de segurança

Os modelos JSON ajudam você a importar em massa componentes de política de firewall de rede, como listas de endereços, listas de URLs, listas de serviços e serviços, listas de aplicativos e aplicativos, regras e perfis de decriptografia, segredos mapeados e regras de segurança.

Esta página fornece um modelo JSON para cada tipo de componente, parâmetros obrigatórios e quaisquer restrições que você precise estar ciente quando usar o modelo.

Para fazer upload dos arquivos JSON concluídos, consulte Importar Componentes de Política do Firewall.

Importante

  • Os recursos incluídos em um arquivo JSON para upload já devem existir na política antes de serem referenciados em outro recurso. Por exemplo, antes de fazer upload de uma lista de aplicativos, você deve primeiro fazer upload de todos os aplicativos que deseja usar na lista.
  • O tamanho máximo do arquivo que você pode fazer upload é 5 MB.

Modelo para importar listas de endereços

Crie uma lista de endereços aos quais você deseja permitir ou negar acesso. Você pode especificar endereços IP IPv4 ou IPv6 individuais, blocos CIDR ou endereços FQDN.

Cada lista de endereços pode conter, no máximo, 1.000 endereços. Uma política pode conter no máximo 20.000 listas de endereços IP e 2.000 listas de endereços FQDN.

Parâmetros obrigatórios:
  • name
  • type (somente IP ou FQDN )
  • addresses
Restrições adicionais:
  • O Nome deve ser exclusivo na política, começar com uma letra e só pode conter letras, números, espaços, um hífen (-) ou um sublinhado (_). Um hífen deve ser seguido por um caractere alfanumérico. Mínimo: 2 caracteres; máximo: 28 caracteres.
  • Os endereços são validados com base no tipo fornecido. Não adicione endereços inválidos para um tipo.

Modelo para importar listas de aplicativos

Crie uma lista de aplicativos aos quais você deseja permitir ou negar acesso. Uma política pode conter no máximo 2.500 listas de aplicativos. Cada lista de aplicativos pode conter, no máximo, 200 aplicativos.

Parâmetros obrigatórios:
  • name
Restrições adicionais:
  • O Nome deve ser exclusivo na política, começar com uma letra e só pode conter letras, números, espaços, um hífen (-) ou um sublinhado (_). Um hífen deve ser seguido por um caractere alfanumérico. Mínimo: 2 caracteres; máximo: 28 caracteres.
  • Se você não listar nenhum aplicativo, forneça um array vazio para o parâmetro "apps" no modelo.
  • Os aplicativos já deverão existir na política para que sejam mencionados na lista importada.

Modelo para importar aplicativos

Um aplicativo é definido por uma assinatura com base nos protocolos que ele usa. A inspeção da camada 7 é usada para identificar aplicações correspondentes. Cada política pode conter no máximo 6.000 aplicativos.

Parâmetros obrigatórios:
  • name
  • type (somente ICMP ou ICMP_V6)
  • icmpType

Restrições adicionais:

  • O Nome deve ser exclusivo na política, começar com uma letra e só pode conter letras, números, espaços, um hífen (-) ou um sublinhado (_). Um hífen deve ser seguido por um caractere alfanumérico. Mínimo: 2 caracteres; máximo: 28 caracteres.

Modelo para importar listas de serviços

Crie uma lista de serviços aos quais você deseja permitir ou negar acesso e defina intervalos de portas para cada um. Uma política pode conter no máximo 2.000 listas de serviços. Uma lista de serviços pode conter, no máximo, 200 serviços.

Parâmetros obrigatórios:
  • name

Restrições adicionais:

  • O Nome deve ser exclusivo na política, começar com uma letra e só pode conter letras, números, espaços, um hífen (-) ou um sublinhado (_). Um hífen deve ser seguido por um caractere alfanumérico. Mínimo: 2 caracteres; máximo: 28 caracteres.
  • Se você não listar nenhum serviço, forneça um array vazio para o parâmetro services no modelo.
  • Os serviços já deverão existir na política para que sejam mencionados na lista importada.

Modelo para importar serviços

Um serviço é identificado por uma assinatura com base nas portas que ele usa. A inspeção da camada 4 é usada para identificar serviços correspondentes. Cada política pode conter no máximo 1.900 serviços.

Parâmetros obrigatórios:
  • name
  • type (somente TCP ou UDP)
  • portRanges

Restrições adicionais:

  • O Nome deve ser exclusivo na política, começar com uma letra e pode conter apenas letras, números, espaços, um hífen (-) ou um sublinhado (_). Um hífen deve ser seguido por um caractere alfanumérico. Mínimo: 2 caracteres; máximo: 28 caracteres.
  • Você pode definir no máximo 10 intervalos de portas para cada serviço.

Modelo para importar listas de URLs

Crie uma lista de URLs aos quais você deseja permitir ou negar acesso. Uma política pode conter no máximo 1.000 listas de URLs. Cada lista pode conter, no máximo, 1.000 URLs. O número máximo de URLs permitidos em uma política é 25.000.

Parâmetros obrigatórios:
  • name
  • urls
  • type (somente SIMPLE)

Restrições adicionais:

  • O Nome deve ser exclusivo na política, começar com uma letra e pode conter apenas letras, números, espaços, um hífen (-) ou um sublinhado (_). Um hífen deve ser seguido por um caractere alfanumérico. Mínimo: 2 caracteres; máximo: 28 caracteres.
  • O urls não pode ser um array vazio. Forneça vários objetos de URL para conter esses URLs na lista.

Modelo para importar segredos mapeados

Segredos mapeados são segredos que você cria no serviço Vault e, em seguida, mapeia para chaves SSL de entrada ou saída. Os segredos são usados para decriptografar e inspecionar o tráfego SSL/TLS com proxy de encaminhamento SSL ou inspeção de entrada SSL. Uma política pode conter no máximo 300 segredos mapeados por inspeção de entrada SSL e no máximo um segredo mapeado por proxy de encaminhamento SSL.

Parâmetros obrigatórios:
  • name
  • source (somente OCI_VAULT)
  • type (somente SSL_INBOUND_INSPECTION ou SSL_FORWARD_PROXY)
  • vaultSecretId
  • versionNumber

Restrições adicionais:

  • O Nome deve ser exclusivo na política, começar com uma letra e só pode conter letras, números, espaços, um hífen (-) ou um sublinhado (_). Um hífen deve ser seguido por um caractere alfanumérico. Mínimo: 6 caracteres; máximo: 58 caracteres.
  • Você pode criar no máximo um segredo mapeado do tipo SSL_FORWARD_PROXY para cada política.

Modelo para importar perfis de decriptografia

Crie perfis de decriptografia para controlar como o proxy de encaminhamento e a inspeção de entrada do SSL executam verificações de modo de sessão, do servidor e de falha. Uma política pode conter no máximo 500 perfis de decriptografia.

Parâmetros obrigatórios:
  • name
  • type (somente SSL_INBOUND_INSPECTION ou SSL_FORWARD_PROXY)

Parâmetros obrigatórios adicionais:

Quando type é "SSL_INBOUND_INSPECTION", os seguintes parâmetros são obrigatórios:
  • isUnsupportedVersionBlocked (verdadeiro ou falso)
  • isUnsupportedCipherBlocked (verdadeiro ou falso)
  • isOutOfCapacityBlocked (verdadeiro ou falso)
Quando type é "SSL_FORWARD_PROXY", os seguintes parâmetros são obrigatórios:
  • isExpiredCertificateBlocked (verdadeiro ou falso)
  • isUntrustedIssuerBlocked (verdadeiro ou falso)
  • isRevocationStatusTimeoutBlocked (verdadeiro ou falso)
  • isUnsupportedVersionBlocked (verdadeiro ou falso)
  • isUnsupportedCipherBlocked (verdadeiro ou falso)
  • isUnknownRevocationStatusBlocked (verdadeiro ou falso)
  • areCertificateExtensionsRestricted (verdadeiro ou falso)
  • isAutoIncludeAltName (verdadeiro ou falso)
  • isOutOfCapacityBlocked (verdadeiro ou falso)

Restrições adicionais:

  • O Nome deve ser exclusivo na política, começar com uma letra e pode conter apenas letras, números, espaços, um hífen (-) ou um sublinhado (_). Um hífen deve ser seguido por um caractere alfanumérico. Mínimo: 2 caracteres; máximo: 63 caracteres.

Modelo para importar regras de segurança

As regras de segurança são impostas após as regras de decriptografia. Uma política pode conter no máximo 10.000 regras de segurança.

Parâmetros obrigatórios:
  • name
  • condition
  • position
  • action (somente ALLOW, REJECT, DROP ou INSPECT)

Restrições adicionais:

  • O Nome deve ser exclusivo na política, começar com uma letra e só pode conter letras, números, espaços, um hífen (-) ou um sublinhado (_). Um hífen deve ser seguido por um caractere alfanumérico. Mínimo: 2 caracteres; máximo: 63 caracteres.
  • Se o parâmetro position estiver vazio, a regra será criada como primeira regra na lista.
  • Se um campo de condição de correspondência tiver um valor vazio, forneça um array vazio para esse campo.
  • Se ACTION for especificado como INSPECT, o parâmetro inspection será obrigatório. Os valores permitidos para inspection são INTRUSION_DETECTION e INTRUSION_PREVENTION.

Modelo para importar regras de decriptografia

As regras de decriptografia são impostas antes das regras de segurança. Uma política pode ter no máximo 1.000 regras de decriptografia.

Parâmetros obrigatórios:
  • name
  • condition
  • action (somente NO_DECRYPT ou DECRYPT)
  • position

Restrições adicionais:

  • O Nome deve ser exclusivo na política, começar com uma letra e só pode conter letras, números, espaços, um hífen (-) ou um sublinhado (_). Um hífen deve ser seguido por um caractere alfanumérico. Mínimo: 2 caracteres; máximo: 63 caracteres.
  • Se ACTION for especificado como DECRYPT, os parâmetros decryptionProfile e mappedSecret serão obrigatórios. Os valores TYPE para decryptionProfile e mappedSecret especificados devem ser iguais (SSL_INBOUND_INSPECTION ou SSL_FORWARD_PROXY).

Modelo para importar regras de inspeção de túnel

Use regras de inspeção de túnel para inspecionar o tráfego espelhado em um recurso Oracle usando o serviço VTAP (Virtual Test Access Point) do OCI. O tráfego capturado na origem VTAP é encapsulado em VXLAN e, em seguida, enviado para o destino VTAP. Consulte RFC 7348. Uma política pode ter no máximo 500 regras de inspeção de túnel.

Parâmetros obrigatórios:
  • name
  • condition (sourceAddress, destinationAddress)
  • action (somente INSPECT or INSPECT_AND_CAPTURE_LOG)
  • position
  • protocol (somente VXLAN)
  • profile ("somente mustReturnTrafficToSource":true)

Restrições adicionais:

  • O Nome deve ser exclusivo na política, começar com uma letra e só pode conter letras, números, espaços, um hífen (-) ou um sublinhado (_). Um hífen deve ser seguido por um caractere alfanumérico. Mínimo: 2 caracteres; máximo: 63 caracteres.

Modelo para importar regras NAT

Use regras NAT para mapear um conjunto de endereços IP para um conjunto correspondente de endereços IP NAT (Network Address Translation).

Parâmetros obrigatórios:
  • Name:
  • Type:
  • Condition:
  • Position:

Restrições adicionais:

  • O Nome deve ser exclusivo na política, começar com uma letra e só pode conter letras, números, espaços, hífen (-) ou sublinhado (_). Um hífen deve ser seguido por um caractere alfanumérico. Mínimo: 2 caracteres; máximo: 63 caracteres.
  • Número máximo de regras NAT para cada política de firewall: 2000