Documentação do Oracle Cloud Infrastructure

Modelos para Importação em Massa de Componentes de Política do Serviço Network Firewall

Use os modelos .json nesta página para fazer upload de muitos componentes de política de uma só vez.

Os modelos JSON ajudam a importar em massa componentes de política de firewall de rede, como listas de endereços, listas de URLs, serviços e listas de serviços, aplicativos e listas de aplicativos, regras e perfis de decriptografia, segredos mapeados e regras de segurança no Oracle Cloud Infrastructure.

Esta página fornece um modelo JSON para cada tipo de componente, bem como parâmetros obrigatórios e quaisquer restrições das quais você precise estar ciente quando usar o modelo.

As instruções para fazer upload dos arquivos JSON concluídos são fornecidas em Bulk Importing Network Firewall Policy Components.

Importante

  • Os recursos incluídos em um arquivo JSON para upload já devem existir na política antes de serem referenciados em outro recurso. Por exemplo, antes de fazer upload de uma lista de aplicativos, você deve primeiro fazer upload de todos os aplicativos que deseja usar na lista.
  • O tamanho máximo do arquivo que você pode fazer upload é 5 MB.

Modelo da Lista de Endereços

Crie uma lista de endereços aos quais você deseja permitir ou negar acesso. Você pode especificar endereços IP IPv4 ou IPv6 individuais, blocos CIDR ou endereços FQDN.

Cada lista de endereços pode conter, no máximo, 1.000 endereços. Uma política pode conter no máximo 20.000 listas de endereços IP e 2.000 listas de endereços FQDN. Para obter mais informações, consulte Criando Componentes de Política do Firewall de Rede.

Parâmetros obrigatórios:
  • name
  • type (somente IP ou FQDN )
  • addresses
Restrições adicionais:
  • O Nome deve ser exclusivo na política, começar com uma letra e só pode conter letras, números, espaços, um hífen (-) ou um sublinhado (_). Um hífen deve ser seguido por um caractere alfanumérico. Mínimo: 2 caracteres; máximo: 28 caracteres.
  • Os endereços são validados com base no tipo fornecido. Não adicione endereços inválidos para um tipo.

Modelo da Lista de Aplicativos

Crie uma lista de aplicativos aos quais você deseja permitir ou negar acesso. Uma política pode conter no máximo 2.500 listas de aplicativos. Cada lista de aplicativos pode conter no máximo 200 aplicativos. Para obter mais informações, consulte Criando Componentes de Política do Firewall de Rede.

Parâmetros obrigatórios:
  • name
Restrições adicionais:
  • O Nome deve ser exclusivo na política, começar com uma letra e só pode conter letras, números, espaços, um hífen (-) ou um sublinhado (_). Um hífen deve ser seguido por um caractere alfanumérico. Mínimo: 2 caracteres; máximo: 28 caracteres.
  • Se você não listar nenhum aplicativo, forneça um array vazio para o parâmetro "apps" no modelo.
  • Os aplicativos já devem existir na política antes de serem referenciados na lista importada.

Modelo de Aplicativo

Um aplicativo é definido por uma assinatura com base nos protocolos que ele usa. A inspeção da camada 7 é usada para identificar aplicações correspondentes. Cada política pode conter no máximo 6.000 aplicativos. Para obter mais informações, consulte Criando Componentes de Política do Firewall de Rede.

Parâmetros obrigatórios:
  • name
  • type (somente ICMP ou ICMP_V6)
  • icmpType

Para obter mais informações sobre tipos e códigos ICMP, consulte Parâmetros do Protocolo de Mensagem de Controle de Internet (ICMP).

Constraints adicionais:

  • O Nome deve ser exclusivo dentro da política, começar com uma letra e só pode conter letras, números, espaços, um hífen (-) ou um sublinhado (_). Um hífen deve ser seguido por um caractere alfanumérico. Mínimo: 2 caracteres; máximo: 28 caracteres.

Modelo de Lista de Serviços

Crie uma lista de serviços aos quais você deseja permitir ou negar acesso e defina intervalos de portas para cada um. Uma política pode conter, no máximo, 2.000 listas de serviços. Uma lista de serviços pode conter, no máximo, 200 serviços. Para obter mais informações, consulte Criando Componentes de Política do Firewall de Rede.

Parâmetros obrigatórios:
  • name

Constraints adicionais:

  • O Nome deve ser exclusivo dentro da política, começar com uma letra e só pode conter letras, números, espaços, um hífen (-) ou um sublinhado (_). Um hífen deve ser seguido por um caractere alfanumérico. Mínimo: 2 caracteres; máximo: 28 caracteres.
  • Se você não listar nenhum serviço, forneça um array vazio para o parâmetro services no modelo.
  • Os serviços já deverão existir na política para que sejam mencionados na lista importada.

Modelo de Serviço

Um serviço é identificado por uma assinatura com base nas portas que ele usa. A inspeção da camada 4 é usada para identificar serviços de correspondência. Cada política pode conter no máximo 1.900 serviços. Para obter mais informações, consulte Criando Componentes de Política do Firewall de Rede.

Parâmetros obrigatórios:
  • name
  • type (somente TCP ou UDP)
  • portRanges

Constraints adicionais:

  • O Nome deve ser exclusivo dentro da política, começar com uma letra e só pode conter letras, números, espaços, um hífen (-) ou um sublinhado (_). Um hífen deve ser seguido por um caractere alfanumérico. Mínimo: 2 caracteres; máximo: 28 caracteres.
  • Você pode definir no máximo 10 intervalos de portas para cada serviço.

Modelo de Lista de URLs

Crie uma lista de URLs aos quais você deseja permitir ou negar acesso. Uma política pode conter, no máximo, 1.000 listas de URLs. Cada lista pode conter, no máximo, 1.000 URLs. O número máximo total de URLs permitidos em uma política é 25.000. Para obter mais informações, consulte Criando Componentes de Política do Firewall de Rede.

Parâmetros obrigatórios:
  • name
  • urls
  • type (somente SIMPLE)

Constraints adicionais:

  • O Nome deve ser exclusivo dentro da política, começar com uma letra e só pode conter letras, números, espaços, um hífen (-) ou um sublinhado (_). Um hífen deve ser seguido por um caractere alfanumérico. Mínimo: 2 caracteres; máximo: 28 caracteres.
  • O urls não pode ser um array vazio. Forneça vários objetos de URL para conter esses URLs na lista.

Modelo de Segredo Mapeado

Segredos mapeados são segredos que você cria no Oracle Cloud Infrastructure Vault e depois mapeia para chaves SSL de entrada ou saída. Os segredos são usados para decriptografar e inspecionar o tráfego SSL/TLS com proxy de encaminhamento SSL ou inspeção de entrada SSL. Uma política pode conter no máximo 300 segredos mapeados de inspeção de entrada SSL e no máximo um segredo mapeado por proxy de encaminhamento SSL. Para obter mais informações, consulte Criando Componentes de Política do Firewall de Rede.

Parâmetros obrigatórios:
  • name
  • source (somente OCI_VAULT)
  • type (somente SSL_INBOUND_INSPECTION ou SSL_FORWARD_PROXY)
  • vaultSecretId
  • versionNumber

Restrições adicionais:

  • O Nome deve ser exclusivo na política, começar com uma letra e só pode conter letras, números, espaços, um hífen (-) ou um sublinhado (_). Um hífen deve ser seguido por um caractere alfanumérico. Mínimo: 6 caracteres; máximo: 58 caracteres.
  • Você pode criar no máximo um segredo mapeado do tipo SSL_FORWARD_PROXY para cada política.

Modelo de Perfil de Decriptografia

Crie perfis de criptografia para controlar como o proxy de encaminhamento e a inspeção de entrada do SSL executam verificações de modo de sessão, do servidor e de falha. Uma política pode conter no máximo 500 perfis de decriptografia.

Parâmetros obrigatórios:
  • name
  • type (somente SSL_INBOUND_INSPECTION ou SSL_FORWARD_PROXY)

Parâmetros adicionais obrigatórios:

Quando type é "SSL_INBOUND_INSPECTION", os seguintes parâmetros são obrigatórios:
  • isUnsupportedVersionBlocked (verdadeiro ou falso)
  • isUnsupportedCipherBlocked (verdadeiro ou falso)
  • isOutOfCapacityBlocked (verdadeiro ou falso)
Quando type é "SSL_FORWARD_PROXY", os seguintes parâmetros são obrigatórios:
  • isExpiredCertificateBlocked (verdadeiro ou falso)
  • isUntrustedIssuerBlocked (verdadeiro ou falso)
  • isRevocationStatusTimeoutBlocked (verdadeiro ou falso)
  • isUnsupportedVersionBlocked (verdadeiro ou falso)
  • isUnsupportedCipherBlocked (verdadeiro ou falso)
  • isUnknownRevocationStatusBlocked (verdadeiro ou falso)
  • areCertificateExtensionsRestricted (verdadeiro ou falso)
  • isAutoIncludeAltName (verdadeiro ou falso)
  • isOutOfCapacityBlocked (verdadeiro ou falso)

Constraints adicionais:

  • O Nome deve ser exclusivo dentro da política, começar com uma letra e só pode conter letras, números, espaços, um hífen (-) ou um sublinhado (_). Um hífen deve ser seguido por um caractere alfanumérico. Mínimo: 2 caracteres; máximo: 63 caracteres.

Modelo da Regra de Segurança

As regras de segurança são aplicadas após as regras de decriptografia. Uma política pode conter no máximo 10.000 regras de segurança.

Parâmetros obrigatórios:
  • name
  • condition
  • position
  • action (somente ALLOW, REJECT, DROP ou INSPECT)

Constraints adicionais:

  • O Nome deve ser exclusivo dentro da política, começar com uma letra e só pode conter letras, números, espaços, um hífen (-) ou um sublinhado (_). Um hífen deve ser seguido por um caractere alfanumérico. Mínimo: 2 caracteres; máximo: 63 caracteres.
  • Se o parâmetro position estiver vazio, a regra será criada como primeira regra na lista.
  • Se um campo de condição de correspondência tiver um valor vazio, forneça um array vazio para esse campo.
  • Se ACTION for especificado como INSPECT, o parâmetro inspection será obrigatório. Os valores permitidos para inspection são INTRUSION_DETECTION e INTRUSION_PREVENTION.

Modelo de Regra de Decriptografia

As regras de criptografia são impostas antes das regras de segurança. Uma política pode ter no máximo 1.000 regras de decriptografia.

Parâmetros obrigatórios:
  • name
  • condition
  • action (somente NO_DECRYPT ou DECRYPT)
  • position

Constraints adicionais:

  • O Nome deve ser exclusivo dentro da política, começar com uma letra e só pode conter letras, números, espaços, um hífen (-) ou um sublinhado (_). Um hífen deve ser seguido por um caractere alfanumérico. Mínimo: 2 caracteres; máximo: 63 caracteres.
  • Se ACTION for especificado como DECRYPT, os parâmetros decryptionProfile e mappedSecret serão obrigatórios. Os valores TYPE para decryptionProfile e mappedSecret especificados devem ser iguais (SSL_INBOUND_INSPECTION ou SSL_FORWARD_PROXY).