Criando Componentes de Política do Serviço Network Firewall
Os componentes em uma política de firewall de rede ajudam a criar regras de segurança e decriptografia. Quando a política é associada a um firewall, o firewall usa as regras para processar o tráfego de rede.
Este tópico descreve os diferentes tipos de recursos de componente que você pode criar em uma política. Primeiro você cria listas, segredos e perfis de decriptografia e, em seguida, os usa para criar regras para uma política. Os recursos componentes de cada política podem ser usados somente dentro dessa política. Para usar um recurso de componente em outra política, você deve recriar o recurso de componente nessa política.
Alguns nomes são reservados pela Palo Alto Networks®. Se você criar um componente de política com um nome reservado, o processo falhará com um erro. Consulte Nomes Reservados
- O firewall avalia as regras de decriptografia na ordem da lista de prioridades.
- Quando uma regra de decriptografia corresponde às informações do pacote, o firewall aplica a ação de regra especificada.
- Quando uma ação de regra é aplicada, o firewall não avalia nenhuma outra regra de criptografia.
- Se as informações do pacote não corresponderem a nenhuma regra de decriptografia, o firewall não decriptografará o pacote.
- O firewall avalia as regras de segurança na ordem da lista de prioridades.
- Quando uma regra de segurança corresponde às informações do pacote, o firewall aplica a ação de regra especificada.
- Quando uma ação de regra é aplicada, o firewall não avalia outras regras de segurança.
- Se as informações do pacote não corresponderem a nenhuma regra de segurança, o firewall eliminará o pacote.
- As regras são opcionais, mas se a política que você usa com um firewall não tiver pelo menos uma regra especificada, o firewall negará todo o tráfego de rede.
- Por padrão, cada nova regra criada torna-se a primeira na lista de prioridades. É possível alterar a ordem de prioridade a qualquer momento.
Listas
As listas são blocos de construção que permitem agrupar aplicativos, serviços, URLs ou endereços para uso em uma regra.
Todos os itens de uma lista são tratados da mesma maneira quando são usados em uma regra. Por exemplo, para criar uma regra que negue acesso a URLs mal-sucedidos conhecidos, você pode criar uma lista de URLs chamada URLs Mal-sucedidos. Em seguida, você pode criar uma regra que negue acesso à lista inteira como um grupo.
Para incluir qualquer item em uma regra, ele deve primeiro ser adicionado a uma lista. A lista pode então ser referenciada em uma regra. Você pode criar uma lista que contenha um único item.
Aplicativos e Listas de Aplicativos
Crie aplicativos e listas de aplicativos para permitir ou negar tráfego para um grupo de aplicativos.
Um aplicativo é definido por uma assinatura com base nos protocolos que ele usa. A inspeção da camada 7 é usada para identificar aplicações correspondentes.
Os seguintes parâmetros são usados para definir um aplicativo:
- Nome: Um nome exclusivo que você define para o aplicativo
- Protocolo: ICMP ou ICMPv6
- ICMP ou Tipo de ICMPv6: Por exemplo, 0-Resposta de eco, 3-Destino inacessível, 5-Redirecionamento, 8-Eco
- ICMP ou Código ICMPv6: Por exemplo, 0-Rede inalcançável, 1-Host inalcançável, 2-Protocolo inalcançável, 3-Porta inalcançável
Para obter mais informações sobre tipos e códigos ICMP, consulte Parâmetros do Protocolo de Mensagem de Controle de Internet (ICMP).
- Número máximo de listas de aplicativos para cada política: 2.500
- Número máximo de aplicativos em uma única lista: 200
- Número máximo total de aplicativos para uma política: 6.000
Você pode criar aplicativos e listas de aplicativos um de cada vez ou pode importar muitos ao mesmo tempo usando um arquivo JSON. Consulte Importando Componentes de Política do Firewall de Rede em Massa.
Depois de criar aplicativos, você poderá adicioná-los a uma lista de aplicativos na política. Não é possível adicionar aplicativos de uma política a uma lista em outra política. O aplicativo deve ser criado dentro de cada política em que você deseja usá-lo.
Tarefas da Lista de Aplicativos e Aplicativos
Serviços e Listas de Serviços
Crie serviços e listas de serviços para permitir ou negar tráfego a um grupo de serviços. Um serviço é identificado por uma assinatura com base nas portas que ele usa. A inspeção da camada 4 é usada para identificar serviços de correspondência.
- Nome: Um nome exclusivo que você define para o serviço.
- Protocolo: TCP ou UDP.
- Intervalo de portas: Um número ou intervalo de portas, por exemplo, "1433", "80-8080" ou "22-22". Cada serviço pode conter no máximo 10 intervalos de portas.
- Número máximo de listas de serviços para cada política: 2.000
- Número máximo de serviços em uma única lista: 200
- Número máximo total de serviços para uma política: 1.900
Você pode criar serviços e listas de serviços uma de cada vez ou pode importar muitos ao mesmo tempo usando um arquivo JSON. Consulte Importando Componentes de Política do Firewall de Rede em Massa.
Depois de criar serviços, você poderá adicioná-los a uma lista de serviços na política. Não é possível adicionar serviços de uma política a uma lista em outra política. O serviço deve ser criado dentro de cada política em que você deseja usá-lo.
Tarefas da Lista de Serviços e Serviços
Listas de URLs
Crie listas de URLs para permitir ou negar tráfego para um grupo de URLs. Você pode criar até 1.000 listas de URLs em uma política. Cada lista pode conter, no máximo, 1.000 URLs. Cada URL é informado em sua própria linha na lista. É possível usar curingas como asteriscos (*) e caret (^) em um URL para personalizar a correspondência. Não insira informações de protocolo como http:// ou https://.
-
Um curinga asterisco (*) indica um ou mais subdomínios variáveis. A entrada corresponde a qualquer outro subdomínio no início ou no final do URL. Por exemplo:
*.example.com corresponde a www.example.com, www.docs.example.com e www.example.com.ua.
*.example.com/ corresponde a www.example.com e www.docs.example.com, mas não a www.example.com.ua.
- Um caractere curinga de cursor (^) indica um único subdomínio variável. Por exemplo, mail.^.com corresponde a mail.example.com, mas não a mail.example.sso.com.
Consulte também Exemplos de uso de curingas em perfis de filtragem de URL.
www.example.com
production1.example.com
production2.example.com
www.example.net
www.example.biz
[1080:0:0:0:8:800:200C:417A]:8080/index.html
1080:0:0:0:8:800:200C:417A/index.html
*.example.com- Número máximo de listas de URLs para cada política: 1.000
- Número máximo de URLs em uma única lista: 1,000
- Número máximo total de URLs para uma política: 25.000
Você pode criar listas de URL uma de cada vez ou pode importar muitas ao mesmo tempo usando um arquivo JSON. Consulte Importando Componentes de Política do Firewall de Rede em Massa.
Tarefas da lista de URLs
Listas de endereços
Crie uma lista de endereços aos quais você deseja permitir ou negar acesso. Você pode especificar endereços IP IPv4 ou IPv6 individuais ou usar blocos CIDR em uma lista de endereços IP. Cada endereço é informado em sua própria linha na lista.
Os endereços FQDN estão disponíveis apenas para casos de uso específicos. Para usar endereços FQDN para listas de endereços, Crie uma solicitação de serviço.
Veja um exemplo de uma lista de endereços IP:
10.0.0.0/16
10.1.0.0/24
10.2.0.0/24
10.3.0.0/24
10.4.0.0/24
10.5.0.0/24
2001:DB8::/32
2603:c020:0:6a00::/56
2603:c020:0:6aa1::/64Veja um exemplo de uma lista de endereços FQDN:
mymail.example1.edu
server.example.org
myhost.mydomain.net
database1.privatesubnet1.abccorpvcn1.oraclevcn.com
subneta.vcn1.oraclevcn.com- Número máximo de listas de endereços para cada política: 20.000 listas de endereços IP, 2.000 listas FQDN
- Número máximo de endereços em uma única lista: 1.000
Tarefas da Lista de Endereços
Segredos Mapeados e Perfis de Decriptografia
Se uma política usar regras de criptografia que utilizam autenticação de certificado, configure segredos mapeados e perfis de decriptografia.
Segredos mapeados são segredos que você cria no Oracle Cloud Infrastructure (OCI) Vault e, em seguida, mapeie para chaves SSL de entrada ou saída. Os segredos são usados para decriptografar e inspecionar o tráfego SSL/TLS com Proxy de Encaminhamento SSL ou Inspeção de Entrada SSL.
Se você planeja usar proxy de encaminhamento SSL ou inspeção de entrada SSL, configure um vault e segredos do OCI antesde começar a configurar uma política com regras. Consulte Configurando a Autenticação de Certificado.
Os perfis de decriptografia controlam como o proxy de encaminhamento e a inspeção de entrada do SSL executam verificações de modo de sessão, do servidor e de falha.
- Bloquear certificado expirado: Bloqueia sessões se o certificado do servidor tiver expirado. Esta opção impede o acesso a sites potencialmente não seguros. Se essa opção não estiver selecionada, os usuários poderão se conectar e fazer transações com sites potencialmente mal-intencionados e ver mensagens de advertência quando tentarem se conectar, mas a conexão não será impedida.
- bloquear emissor não confiável: Bloqueia sessões se o certificado do servidor for emitido por uma autoridade de certificação (CA) não confiável. Um emissor não confiável pode indicar um ataque man-in-the-middle, um ataque de repetição ou outro ataque.
- Bloquear certificado com timeout: Bloqueará as sessões se ocorrer timeout da verificação do status do certificado. As verificações de status do certificado usam a CRL (Lista de Revogação de Certificado) em um servidor de revogação ou usam o OCSP (Online Certificate Status Protocol) para ver se a CA que emitiu o certificado o revogou. Os servidores de revogação podem demorar para responder, o que pode causar timeout da sessão, mesmo que o certificado seja válido.
- bloquear cifragem não suportada: Bloqueará as sessões se não houver suporte para a suíte de cifragem SSL especificada no handshake SSL.
- Bloquear versão não suportada: Bloqueará sessões se não houver suporte para a versão do SSL especificada no handshake do SSL.
- bloquear certificado desconhecido: Bloqueia sessões se o status do certificado for retornado como "desconhecido". O status do certificado pode ser desconhecido por muitos motivos, portanto, use essa opção nas áreas de segurança mais alta da rede, em vez de para segurança geral.
- Restringir extensões de certificado: restringe as extensões ao uso de chave e ao uso de chave estendida. Use esta opção somente se a implantação não exigir outras extensões de certificado.
- Incluir automaticamente nome alternativo: Anexa automaticamente um SAN (Nome Alternativo do Assunto) ao certificado de personificação se o certificado do servidor estiver ausente.
- Bloquear se não houver recursos: Bloqueia sessões se não houver recursos de processamento suficientes disponíveis. Se você não usar essa opção, o tráfego criptografado entrará na rede ainda criptografada, correndo o risco de ocorrerem conexões potencialmente perigosas. O uso desta opção pode afetar a experiência do usuário ao tornar os sites temporariamente inacessíveis.
- Bloquear sessões com versões não suportadas: Bloqueia sessões com uma versão fraca e não suportada do protocolo SSL.
- bloquear cifragem não suportada: Bloqueará as sessões se não houver suporte para a suíte de cifragem SSL especificada no handshake SSL.
- Bloquear se não houver recursos: Bloqueia sessões se não houver recursos de processamento suficientes disponíveis. Se você não usar essa opção, o tráfego criptografado entrará na rede ainda criptografada, correndo o risco de ocorrerem conexões potencialmente perigosas. O uso desta opção pode afetar a experiência do usuário ao tornar os sites temporariamente inacessíveis.
- Número máximo de segredos mapeados para cada política: 300
- Número máximo de segredos mapeados de entrada SSL para cada política: 300
- Número máximo de segredos mapeados por proxy de encaminhamento SSL para cada política: 1
- Número máximo de perfis decriptografia para cada política: 500
Você pode criar segredos mapeados e perfis de decriptografia um de cada vez ou pode importar muitos ao mesmo tempo usando um arquivo JSON. Consulte Importando Componentes de Política do Firewall de Rede em Massa.
Tarefas de Perfil de Decriptografia e Segredos Mapeados
Regras
Uma regra é um conjunto de critérios com base no qual um pacote de rede tem correspondência. Regras são configuradas em uma política e, em seguida, a política é associada a um firewall. O firewall então permite ou nega tráfego de acordo com as regras em sua política associada.
- As regras de decriptografia são sempre aplicadas antes das regras de segurança.
- As regras de decriptografia e as regras de segurança são aplicadas usando uma ordem de prioridade que você pode definir
Regras de Descriptografia
As regras de decriptografia decriptografam o tráfego de uma origem, um destino ou ambos especificados. A condição de correspondência de origem e destino especificada para o tráfego consiste em listas de endereços que você configura na política antes de criar a regra.
Quando a condição de correspondência de origem e destino especificada é atendida, o firewall executa a ação de regra. Você pode optar por executar as seguintes ações:
- Descriptografar tráfego com proxy de encaminhamento de SSL
- Descriptografar tráfego com inspeção de entrada de SSL
- Não decriptografar o tráfego.
Se você optar por decriptografar, escolha um perfil de decriptografia e um segredo mapeado para aplicar ao decriptografar o tráfego. Configure perfis de decriptografia e segredos mapeados na política antes de criar a regra. Por padrão, a ordem de prioridade das regras de decriptografia é sua ordem de criação. Você pode alterar a ordem de prioridade.
- Número máximo de regras de decriptografia para cada política: 1.000
Você pode criar regras de decriptografia uma de cada vez ou importar muitas de uma vez usando um arquivo JSON. Consulte Importando Componentes de Política do Firewall de Rede em Massa.
Tarefas da Regra de Decriptografia
Regras de Segurança
Os firewalls usam regras de segurança para decidir qual tráfego de rede é permitido ou bloqueado. Cada regra contém um conjunto de critérios às quais as informações do pacote devem corresponder para aplicar a regra. Isso é chamado de condição de correspondência de regra.
Você pode configurar uma regra de segurança para correspondência com base no endereço de origem e destino, aplicativo, serviço ou URL. A condição de correspondência de origem e destino especificada para o tráfego consiste em listas que você configura na política antes de criar a regra.
Se nenhum critério de correspondência for definido na regra de segurança (uma lista vazia for especificada para a regra), a regra corresponderá aos critérios curinga ("qualquer"). Esse comportamento se aplica a todo o tráfego examinado na regra.
- Permitir tráfego: O tráfego pode prosseguir.
- Eliminar tráfego: O tráfego é eliminado silenciosamente e nenhuma notificação de redefinição é enviada.
- Rejeitar tráfego: O tráfego é eliminado e uma notificação de redefinição é enviada.
- Detecção de invasão: O tráfego é registrado.
- Prevenção de intrusão: o tráfego é bloqueado.Importante
Para usar a detecção e prevenção de invasão, você também deve ativar o registro em log. Consulte Logs.
- Número máximo de regras de segurança para cada política: 10.000
Você pode criar regras de segurança uma de cada vez ou importar muitas ao mesmo tempo usando um arquivo JSON. Consulte Importando Componentes de Política do Firewall de Rede em Massa.