Criando e Gerenciando Políticas de Firewall
Crie políticas de firewall para armazenar as regras de política de firewall criadas para controlar como um firewall inspeciona, permite ou nega o tráfego de rede.
Crie políticas de firewall antes de criar firewalls. Cada firewall deve ter pelo menos uma política de firewall associada a ele.
Quando você cria uma política de firewall, limites e restrições usuais do serviço Network Firewall se aplicam.
Sobre componentes de regra de política de firewall
Depois de criar uma política de firewall, comece a se preparar para criar regras de política de firewall. Com componentes de regra de política de firewall, você pode criar listas para agrupar aplicativos, serviços, URLS ou endereços a serem usados em uma regra de política de firewall. Todos os itens de uma lista são tratados da mesma maneira quando são usados em uma regra. A lista pode ser referenciada em uma regra.
Um componente de regra também pode incluir perfis de decriptografia. Crie um perfil de decriptografia com um segredo mapeado para controlar como o proxy de encaminhamento e a inspeção de entrada do SSL executam verificações de modo de sessão, do servidor e de falha.
Sobre regras de política de firewall
Uma regra de política de firewall é um conjunto de critérios que você define para uma política de firewall permitir ou negar o tráfego de rede com um firewall. Você pode criar os seguintes tipos de regras de política de firewall:
- Regras de decriptografia para decriptografar o tráfego
- Regras de segurança para permitir ou bloquear o tráfego
- Regras de inspeção de túnel para inspecionar o tráfego
Se você criar uma política de firewall e não definir nenhuma regra de política de firewall, todo o tráfego da rede será negado.
- As regras de criptografia são sempre aplicadas antes das regras de segurança.
- As regras de decriptografia e as regras de segurança são aplicadas usando uma ordem de prioridade que você pode definir
- O firewall avalia as regras de criptografia na ordem da lista de prioridades.
- Quando uma regra de decriptografia corresponde às informações do pacote, o firewall aplica a ação de regra especificada.
- Quando uma ação de regra é aplicada, o firewall não avalia mais nenhuma regra de decriptografia.
- Se as informações do pacote não corresponderem a nenhuma regra de decriptografia, o firewall não decriptografará o pacote.
- O firewall avalia as regras de segurança na ordem da lista de prioridades.
- Quando uma regra de segurança corresponde às informações do pacote, o firewall aplica a ação de regra especificada.
- Quando uma ação de regra é aplicada, o firewall não avalia nenhuma outra regra de segurança.
- Se as informações do pacote não corresponderem a nenhuma regra de segurança, o firewall eliminará o pacote.
As regras são opcionais, mas se a política que você usa com um firewall não tiver pelo menos uma regra especificada, o firewall negará todo o tráfego da rede.
Por padrão, cada nova regra criada torna-se a primeira na lista de prioridades. Você pode alterar a ordem de prioridade a qualquer momento.
Sobre regras de decriptografia
As regras de decriptografia decriptografam o tráfego de uma origem, um destino ou ambos especificados. A condição de correspondência de origem e destino especificada para o tráfego consiste em listas de endereços que você configura na política antes de criar a regra.
Quando a condição de correspondência de origem e destino especificada é atendida, o firewall executa a ação da regra. Você pode optar por executar as seguintes ações:
- Decriptografar tráfego com proxy de encaminhamento de SSL
- Decriptografar tráfego com inspeção de entrada de SSL
- Não descriptografe o tráfego.
Se você optar por decriptografar, escolha um perfil de decriptografia e um segredo mapeado para aplicar ao decriptografar o tráfego. Configure perfis de decriptografia e segredos mapeados na política antes de criar a regra. Por padrão, a ordem de prioridade das regras de decriptografia é sua ordem de criação. É possível alterar a ordem de prioridade.
- Número máximo de regras de decriptografia para cada política: 1.000
Segredos e perfis para regras de decriptografia
Se uma política de firewall usar regras de decriptografia que usam autenticação de certificado, configure segredos mapeados e perfis de decriptografia.
Segredos mapeados são segredos que você cria no serviço Vault e, em seguida, mapeia para chaves SSL de entrada ou saída. Os segredos são usados para decriptografar e inspecionar o tráfego SSL/TLS com proxy de encaminhamento SSL e inspeção de entrada SSL.
Se você planeja usar o proxy de encaminhamento SSL ou a inspeção de entrada SSL, configure um vault e segredos antes de começar a configurar uma política com regras. Consulte Configurando a Descriptografia e a Inspeção de Tráfego de Rede.
Os perfis de decriptografia controlam como o proxy de encaminhamento e a inspeção de entrada do SSL executam verificações de modo de sessão, do servidor e de falha.
- Bloquear certificado expirado: Bloqueia sessões se o certificado do servidor tiver expirado. Esta opção impede o acesso a sites potencialmente não seguros. Se essa opção não estiver selecionada, os usuários poderão se conectar e fazer transações com sites potencialmente maliciosos e ver mensagens de advertência quando tentarem se conectar, mas a conexão não será impedida.
- Block untrusted issuer: Bloqueia sessões se o certificado do servidor for emitido por uma autoridade de certificação (CA) não confiável. Um emissor não confiável pode indicar um ataque man-in-the-middle, um ataque de repetição ou outro ataque.
- Bloquear certificado com timeout: Bloqueia as sessões se ocorrer timeout da verificação do status do certificado. As verificações de status do certificado usam a CRL (Lista de Revogação de Certificados) em um servidor de revogação ou usam o OCSP (Online Certificate Status Protocol) para ver se a CA que emitiu o certificado o revogou. Os servidores de revogação podem demorar para responder, o que pode causar timeout da sessão, mesmo que o certificado seja válido.
- Bloquear cifragem não suportada: Bloqueia as sessões se não houver suporte para a suíte de cifragem SSL especificada no handshake SSL.
- Bloquear versão não suportada: Bloqueia as sessões se a versão SSL especificada no handshake SSL não for suportada.
- Bloquear certificado desconhecido: Bloqueia sessões se o status do certificado for retornado como "desconhecido". O status do certificado pode ser desconhecido por muitos motivos, portanto, use essa opção nas áreas de segurança mais alta da rede, em vez de para segurança geral.
- Restringir extensões de certificado: Restringe as extensões ao uso de chave e ao uso de chave estendida. Use esta opção somente se a implantação não exigir outras extensões de certificado.
- Incluir automaticamente nome alternativo: Anexa automaticamente um SAN (Nome Alternativo do Assunto) ao certificado de representação se o certificado do servidor estiver ausente.
- Bloquear se não houver recursos: Bloqueia sessões se não houver recursos de processamento suficientes disponíveis. Se você não usar essa opção, o tráfego criptografado entrará na rede ainda criptografada, correndo o risco de ocorrerem conexões potencialmente perigosas. O uso desta opção pode afetar a experiência do usuário ao tornar os sites temporariamente inacessíveis.
- Bloquear sessões com versões não suportadas: Bloqueia sessões com versão inválida e não suportada do protocolo SSL.
- Bloquear cifragem não suportada: Bloqueia as sessões se não houver suporte para a suíte de cifragem SSL especificada no handshake SSL.
- Bloquear se não houver recursos: Bloqueia sessões se não houver recursos de processamento suficientes disponíveis. Se você não usar essa opção, o tráfego criptografado entrará na rede ainda criptografada, correndo o risco de ocorrerem conexões potencialmente perigosas. O uso desta opção pode afetar a experiência do usuário ao tornar os sites temporariamente inacessíveis.
- Número máximo de segredos mapeados para cada política: 300
- Número máximo de segredos mapeados de entrada SSL para cada política: 300
- Número máximo de segredos mapeados por proxy de encaminhamento SSL para cada política: 1
- Número máximo de perfis de decriptografia para cada política: 500
Para criar um segredo mapeado, consulte Criar um Segredo Mapeado.
Para criar um perfil de criptografia, consulte Criar um Perfil de Criptografia.
Sobre regras de segurança
Os firewall usam regras de segurança para decidir qual tráfego de rede é permitido ou bloqueado. Cada regra contém um conjunto de critérios às quais as informações do pacote devem corresponder para aplicar a regra. Isso é chamado de condição de correspondência de regra.
Você pode configurar uma regra de segurança para correspondência com base no endereço de origem e destino, aplicativo, serviço ou URL. A condição de correspondência de origem e destino especificada para o tráfego consiste em listas que você configura na política antes de criar a regra.
Se nenhum critério de correspondência for definido na regra de segurança (uma lista vazia for especificada para a regra), a regra corresponderá aos critérios curinga ("qualquer"). Esse comportamento se aplica a todo o tráfego examinado na regra.
- Permitir tráfego: O tráfego pode prosseguir.
- Eliminar tráfego: O tráfego é eliminado silenciosamente e nenhuma notificação de redefinição é enviada.
- Rejeitar tráfego: O tráfego é eliminado e uma notificação de redefinição é enviada.
- Detecção de invasão: O tráfego é registrado.
- Prevenção de invasão: O tráfego é bloqueado.Importante
Para usar a detecção e a prevenção de intrusões, ative o registro em log. Consulte Logging Firewall Activity.
- Número máximo de regras de segurança para cada política: 10.000
Sobre regras de inspeção de túnel
Use regras de inspeção de túnel para inspecionar o tráfego espelhado em um recurso Oracle usando o serviço Ponto de Acesso de Teste Virtual. O tráfego capturado na origem do Ponto de Acesso de Teste Virtual (VTAP) é encapsulado na VXLAN e, em seguida, enviado para o destino VTAP.
Você pode espelhar todo o tráfego ou usar um filtro de captura para espelhar apenas o tráfego desejado.
Quando a condição de correspondência de origem e destino especificada é atendida, o firewall aplica um perfil de inspeção de túnel Palo Alto Networks® padrão. O perfil tem as seguintes características e não é editável:
- Nome: VXLAN
- Tipo:
- Retorne o túnel VXLAN verificado para a origem: Verdadeiro. Retorna o pacote encapsulado para o ponto final do túnel VXLAN (VTEP) de origem.
O log de Inspeção de Túnel fornece informações sobre o tráfego VXLAN espelhado que passa pelo firewall.
- Número máximo de regras de inspeção de túnel para cada política: 500
Sobre regras NAT
As regras NAT são um poderoso conjunto de instruções que controlam como o tráfego de rede é traduzido ou modificado no tráfego de rede, oferecendo uma solução flexível e eficiente para gerenciar endereços IP e aumentar a segurança. Com as regras NAT, você pode configurar um conjunto ordenado de regras dentro da política de firewall para executar a Tradução de Endereço de Rede de Origem Muitos para Um (SNAT). Você pode definir endereços de origem e destino, juntamente com serviços, como critérios de correspondência de regras para tráfego específico.
O firewall só pode executar operações NAT privadas; o NAT público não é suportado.
Ativando o NAT em Firewalls:
Para ativar o NAT em firewalls, certifique-se de que pelo menos quatro IPs sobressalentes estejam disponíveis na sub-rede do firewall para um firewall de 4 Gbps e um mínimo de cinco IPs sobressalentes para um firewall de 25 Gbps.
Ao aplicar regras NAT, elas são aplicadas em uma ordem específica nas operações de regra. As regras NAT são aplicadas após regras de decriptografia, segurança e túnel, garantindo um processo de gerenciamento de rede abrangente e seguro.
Ao criar uma política de firewall e incluir regras NAT, você pode designá-la a um firewall para ativar a funcionalidade NAT. Usando regras NAT, o firewall executa a conversão de endereço de origem privada para tráfego que corresponda às regras NAT definidas.
Você pode ativar o NAT em firewalls usando:
- Console: Ao usar a Console para associar uma política de firewall a um firewall, o NAT é ativado automaticamente.
- CLI/API : Ao usar a CLI ou a API, você deve ativar explicitamente a NAT para o firewall após associar a política de firewall. Isso garante que você tenha controle preciso sobre quando e como o NAT é ativado.
Avaliação e Aplicação da Regra NAT:
As regras NAT são avaliadas com base em sua ordem de prioridade. Quando o tráfego passa pelo firewall, as regras são processadas sequencialmente e a primeira regra de correspondência é aplicada. Isso garante que a regra de prioridade mais específica ou mais alta entre em vigor, fornecendo controle preciso sobre a tradução de endereços de rede. O firewall executa NAT quando as condições de correspondência de origem e destino especificadas são atendidas, garantindo que o tráfego seja traduzido de acordo com as regras definidas.
Desativando NAT em Firewalls:
Observe que depois que uma política de firewall contendo Regras NAT é anexada a um firewall, o NAT não pode ser desativado (desativado) nesse firewall. Para desativar o NAT, primeiro atualize o firewall com uma política que não inclua regras NAT. Somente após essa atualização é possível desativar o NAT no firewall. Isso garante que o NAT seja aplicado de forma consistente e segura, com base na presença de regras NAT na política de firewall anexada.
Benefícios e Considerações:
As Regras NAT oferecem vários benefícios, incluindo gerenciamento eficiente de endereços IP, maior segurança por meio da conversão de endereços IP de origem e a capacidade de distribuir o tráfego de entrada para balanceamento de carga. No entanto, é crucial considerar os requisitos mínimos de CIDR de sub-rede e o impacto de IPs NAT fixos na sua infraestrutura de rede.
Limites:
- Número máximo de regras NAT para cada política de firewall: 2000
- Funcionalidade NAT Privada: O firewall só pode executar operações NAT privadas, o NAT público não é suportado.
- Alocação de IP NAT: Os IPs só são designados pela sub-rede do firewall exclusivamente.
- Tamanho do Pool NAT: Para firewalls de 4 Gbps, o recurso NAT requer no mínimo 4 IPs sobressalentes na sub-rede do firewall. Para o firewall de 25 Gbps, é necessário um mínimo de 5 IPs sobressalentes. Recomendamos reservar IPs adicionais para acomodar o crescimento futuro do pool NAT.
- Suporte a NAT de Origem: Somente NAT de Origem é suportado. O NAT de destino não é suportado.
- NAT/PAT Dinâmico: NAT/PAT Dinâmico Muitos-para-Um é suportado, proporcionando flexibilidade no manuseio de várias conexões. O NAT Um para Um estático não é suportado.
- IPv4 Compatibilidade: Somente endereços IPv4 são suportados para NAT; IPv6 não é suportado.
Consulte também
- Criar uma Política de Firewall
- Criando Componentes para Regras de Política do Firewall
- Adicionar uma Regra de Decriptografia a uma Política de Firewall
- Adicionar uma Regra de Segurança a uma Política de Firewall
- Adicionar uma Regra de Inspeção de Túnel a uma Política de Firewall
- Adicionar uma Regra NAT a uma Política de Firewall
- Registrando Atividade do Firewall