Modelos para Importação em Massa de Componentes de Política do Serviço Network Firewall
Use os modelos .json nesta página para fazer upload de muitos componentes de política de uma só vez.
Os modelos JSON ajudam a importar em massa componentes de política de firewall de rede, como listas de endereços, listas de URLs, serviços e listas de serviços, aplicativos e listas de aplicativos, regras e perfis de decriptografia, segredos mapeados e regras de segurança no Oracle Cloud Infrastructure.
Esta página fornece um modelo JSON para cada tipo de componente, bem como parâmetros obrigatórios e quaisquer restrições das quais você precise estar ciente quando usar o modelo.
As instruções para fazer upload dos arquivos JSON concluídos são fornecidas em Bulk Importing Network Firewall Policy Components.
- Os recursos incluídos em um arquivo JSON para upload já devem existir na política antes de serem referenciados em outro recurso. Por exemplo, antes de fazer upload de uma lista de aplicativos, você deve primeiro fazer upload de todos os aplicativos que deseja usar na lista.
- O tamanho máximo do arquivo que você pode fazer upload é 5 MB.
Modelo da Lista de Endereços
Crie uma lista de endereços aos quais você deseja permitir ou negar acesso. Você pode especificar endereços IP IPv4 ou IPv6 individuais, blocos CIDR ou endereços FQDN.
Cada lista de endereços pode conter, no máximo, 1.000 endereços. Uma política pode conter no máximo 20.000 listas de endereços IP e 2.000 listas de endereços FQDN. Para obter mais informações, consulte Criando Componentes de Política do Firewall de Rede.
- Faça download do Modelo da Lista de Endereços
name
type
(somenteIP
ouFQDN
)addresses
- O Nome deve ser exclusivo na política, começar com uma letra e só pode conter letras, números, espaços, um hífen (-) ou um sublinhado (_). Um hífen deve ser seguido por um caractere alfanumérico. Mínimo: 2 caracteres; máximo: 28 caracteres.
- Os endereços são validados com base no tipo fornecido. Não adicione endereços inválidos para um tipo.
Modelo da Lista de Aplicativos
Crie uma lista de aplicativos aos quais você deseja permitir ou negar acesso. Uma política pode conter no máximo 2.500 listas de aplicativos. Cada lista de aplicativos pode conter no máximo 200 aplicativos. Para obter mais informações, consulte Criando Componentes de Política do Firewall de Rede.
- Faça download do Modelo de Lista de Aplicativos
name
- O Nome deve ser exclusivo na política, começar com uma letra e só pode conter letras, números, espaços, um hífen (-) ou um sublinhado (_). Um hífen deve ser seguido por um caractere alfanumérico. Mínimo: 2 caracteres; máximo: 28 caracteres.
- Se você não listar nenhum aplicativo, forneça um array vazio para o parâmetro
"apps"
no modelo. - Os aplicativos já devem existir na política antes de serem referenciados na lista importada.
Modelo de Aplicativo
Um aplicativo é definido por uma assinatura com base nos protocolos que ele usa. A inspeção da camada 7 é usada para identificar aplicações correspondentes. Cada política pode conter no máximo 6.000 aplicativos. Para obter mais informações, consulte Criando Componentes de Política do Firewall de Rede.
- Faça download do Modelo de Aplicativo
name
type
(somenteICMP
ouICMP_V6
)icmpType
Para obter mais informações sobre tipos e códigos ICMP, consulte Parâmetros do Protocolo de Mensagem de Controle de Internet (ICMP).
Constraints adicionais:
- O Nome deve ser exclusivo dentro da política, começar com uma letra e só pode conter letras, números, espaços, um hífen (-) ou um sublinhado (_). Um hífen deve ser seguido por um caractere alfanumérico. Mínimo: 2 caracteres; máximo: 28 caracteres.
Modelo de Lista de Serviços
Crie uma lista de serviços aos quais você deseja permitir ou negar acesso e defina intervalos de portas para cada um. Uma política pode conter, no máximo, 2.000 listas de serviços. Uma lista de serviços pode conter, no máximo, 200 serviços. Para obter mais informações, consulte Criando Componentes de Política do Firewall de Rede.
- Faça download do Modelo de Lista de Serviços
name
Constraints adicionais:
- O Nome deve ser exclusivo dentro da política, começar com uma letra e só pode conter letras, números, espaços, um hífen (-) ou um sublinhado (_). Um hífen deve ser seguido por um caractere alfanumérico. Mínimo: 2 caracteres; máximo: 28 caracteres.
- Se você não listar nenhum serviço, forneça um array vazio para o parâmetro
services
no modelo. - Os serviços já deverão existir na política para que sejam mencionados na lista importada.
Modelo de Serviço
Um serviço é identificado por uma assinatura com base nas portas que ele usa. A inspeção da camada 4 é usada para identificar serviços de correspondência. Cada política pode conter no máximo 1.900 serviços. Para obter mais informações, consulte Criando Componentes de Política do Firewall de Rede.
- Faça download do Modelo de Serviço
name
type
(somenteTCP
ouUDP
)portRanges
Constraints adicionais:
- O Nome deve ser exclusivo dentro da política, começar com uma letra e só pode conter letras, números, espaços, um hífen (-) ou um sublinhado (_). Um hífen deve ser seguido por um caractere alfanumérico. Mínimo: 2 caracteres; máximo: 28 caracteres.
- Você pode definir no máximo 10 intervalos de portas para cada serviço.
Modelo de Lista de URLs
Crie uma lista de URLs aos quais você deseja permitir ou negar acesso. Uma política pode conter, no máximo, 1.000 listas de URLs. Cada lista pode conter, no máximo, 1.000 URLs. O número máximo total de URLs permitidos em uma política é 25.000. Para obter mais informações, consulte Criando Componentes de Política do Firewall de Rede.
- Faça download do Modelo de Lista de URLs
name
urls
type
(somenteSIMPLE
)
Constraints adicionais:
- O Nome deve ser exclusivo dentro da política, começar com uma letra e só pode conter letras, números, espaços, um hífen (-) ou um sublinhado (_). Um hífen deve ser seguido por um caractere alfanumérico. Mínimo: 2 caracteres; máximo: 28 caracteres.
- O
urls
não pode ser um array vazio. Forneça vários objetos de URL para conter esses URLs na lista.
Modelo de Segredo Mapeado
Segredos mapeados são segredos que você cria no Oracle Cloud Infrastructure Vault e depois mapeia para chaves SSL de entrada ou saída. Os segredos são usados para decriptografar e inspecionar o tráfego SSL/TLS com proxy de encaminhamento SSL ou inspeção de entrada SSL. Uma política pode conter no máximo 300 segredos mapeados de inspeção de entrada SSL e no máximo um segredo mapeado por proxy de encaminhamento SSL. Para obter mais informações, consulte Criando Componentes de Política do Firewall de Rede.
- Faça download do Modelo de Segredo Mapeado
name
source
(somenteOCI_VAULT
)type
(somenteSSL_INBOUND_INSPECTION
ouSSL_FORWARD_PROXY
)vaultSecretId
versionNumber
Restrições adicionais:
- O Nome deve ser exclusivo na política, começar com uma letra e só pode conter letras, números, espaços, um hífen (-) ou um sublinhado (_). Um hífen deve ser seguido por um caractere alfanumérico. Mínimo: 6 caracteres; máximo: 58 caracteres.
- Você pode criar no máximo um segredo mapeado do tipo
SSL_FORWARD_PROXY
para cada política.
Modelo de Perfil de Decriptografia
Crie perfis de criptografia para controlar como o proxy de encaminhamento e a inspeção de entrada do SSL executam verificações de modo de sessão, do servidor e de falha. Uma política pode conter no máximo 500 perfis de decriptografia.
- Faça download do Modelo de Perfil de Decriptografia
name
type
(somenteSSL_INBOUND_INSPECTION
ouSSL_FORWARD_PROXY
)
Parâmetros adicionais obrigatórios:
type
é "SSL_INBOUND_INSPECTION"
, os seguintes parâmetros são obrigatórios:isUnsupportedVersionBlocked
(verdadeiro ou falso)isUnsupportedCipherBlocked
(verdadeiro ou falso)isOutOfCapacityBlocked
(verdadeiro ou falso)
type
é "SSL_FORWARD_PROXY"
, os seguintes parâmetros são obrigatórios:isExpiredCertificateBlocked
(verdadeiro ou falso)isUntrustedIssuerBlocked
(verdadeiro ou falso)isRevocationStatusTimeoutBlocked
(verdadeiro ou falso)isUnsupportedVersionBlocked
(verdadeiro ou falso)isUnsupportedCipherBlocked
(verdadeiro ou falso)isUnknownRevocationStatusBlocked
(verdadeiro ou falso)areCertificateExtensionsRestricted
(verdadeiro ou falso)isAutoIncludeAltName
(verdadeiro ou falso)isOutOfCapacityBlocked
(verdadeiro ou falso)
Constraints adicionais:
- O Nome deve ser exclusivo dentro da política, começar com uma letra e só pode conter letras, números, espaços, um hífen (-) ou um sublinhado (_). Um hífen deve ser seguido por um caractere alfanumérico. Mínimo: 2 caracteres; máximo: 63 caracteres.
Modelo da Regra de Segurança
As regras de segurança são aplicadas após as regras de decriptografia. Uma política pode conter no máximo 10.000 regras de segurança.
- Faça download do Modelo de Regra de Segurança
name
condition
position
action
(somenteALLOW
,REJECT
,DROP
ouINSPECT
)
Constraints adicionais:
- O Nome deve ser exclusivo dentro da política, começar com uma letra e só pode conter letras, números, espaços, um hífen (-) ou um sublinhado (_). Um hífen deve ser seguido por um caractere alfanumérico. Mínimo: 2 caracteres; máximo: 63 caracteres.
- Se o parâmetro
position
estiver vazio, a regra será criada como primeira regra na lista. - Se um campo de condição de correspondência tiver um valor vazio, forneça um array vazio para esse campo.
- Se
ACTION
for especificado comoINSPECT
, o parâmetroinspection
será obrigatório. Os valores permitidos parainspection
sãoINTRUSION_DETECTION
eINTRUSION_PREVENTION
.
Modelo de Regra de Decriptografia
As regras de criptografia são impostas antes das regras de segurança. Uma política pode ter no máximo 1.000 regras de decriptografia.
- Faça download do Modelo de Regra de Decriptografia
name
condition
action
(somenteNO_DECRYPT
ouDECRYPT
)position
Constraints adicionais:
- O Nome deve ser exclusivo dentro da política, começar com uma letra e só pode conter letras, números, espaços, um hífen (-) ou um sublinhado (_). Um hífen deve ser seguido por um caractere alfanumérico. Mínimo: 2 caracteres; máximo: 63 caracteres.
- Se
ACTION
for especificado comoDECRYPT
, os parâmetrosdecryptionProfile
emappedSecret
serão obrigatórios. Os valoresTYPE
paradecryptionProfile
emappedSecret
especificados devem ser iguais (SSL_INBOUND_INSPECTION
ouSSL_FORWARD_PROXY
).