Documentação do Oracle Cloud Infrastructure

Adicionar uma Regra de Inspeção de Túnel a uma Política de Firewall

As regras de inspeção de túnel contêm um conjunto de critérios com base no qual um pacote de rede tem correspondência e, em seguida, é inspecionado.

Para poder criar uma regra de inspeção de túnel, você deve criar listas de endereços.

A condição de correspondência de origem e destino especificada para o tráfego consiste em listas que você configura na política antes de criar a regra. Você pode criar no máximo 500 regras de inspeção de túnel para cada política.

Quando a condição de correspondência de origem e destino especificada é atendida, o firewall aplica um perfil de inspeção de túnel Palo Alto Networks® padrão. O perfil tem as seguintes características e não é editável:

  • Protocolo: VXLAN
  • Níveis Máximos de Inspeção de Túnel: Um nível de encapsulamento é inspecionado
  • Retorne o túnel VXLAN verificado para a origem: Verdadeiro. Retorna o pacote encapsulado para o ponto final do túnel VXLAN (VTEP) de origem.
    1. Abra o menu de navegação e selecione Identidade e Segurança. Em Firewalls, selecione Políticas do Firewall de Rede.
    2. Selecione o compartimento que contém a política de firewall à qual você deseja adicionar uma regra de decriptografia.
    3. Selecione a política.
    4. Na página de detalhes, selecione a guia Regras.
    5. Na tabela Regras de inspeção de túnel, selecione Criar regra de inspeção de túnel.
    6. Especifique informações para a regra:
      • Nome: Informe um nome para a regra de inspeção de túnel. Evite digitar informações confidenciais.
      • Condição de correspondência: Especifique os endereços de origem e de destino que devem ser correspondentes para a regra ter efeito. Você pode selecionar qualquer uma das listas de endereços criadas. Se você ainda não tiver criado nenhuma lista de endereços, selecione Criar lista de endereços no menu Ações e consulte Criar uma Lista de Endereços.
      • Ação da regra: Especifique a ação que você deseja tomar se a condição de correspondência for atendida:
        • Inspecionar: Executa inspeção de túnel no tráfego correspondente.
        • Inspecionar e capturar log: Executa a inspeção de túnel no tráfego correspondente e gera logs para a sessão de túnel.
      • Ordem da Regra: Selecione a posição da regra em relação a outras regras de inspeção de túnel na política. O firewall aplica as regras de inspeção de túnel na ordem especificada do primeiro ao último.

        Posição personalizada só será ativada se você criar mais de uma regra de inspeção de túnel. Se você selecioná-la, especifique se deseja que esta regra venha antes de uma regra existente ou após uma regra existente. Em seguida, especifique a regra existente antes ou depois da qual você deseja que a nova regra venha.

    7. Selecione Criar regra de inspeção de túnel.

  • Use o comando network-firewall tunnel-inspection-rule create e os parâmetros necessários para criar uma regra de inspeção do túnel:

    oci network-firewall tunnel-inspection-rule create --name my_tunnel-inspection_rule --network-firewall-policy-id network firewall policy OCID
--condition '[{"sourceAddress":"IP_address"},{"destinationAddress":"IP_address"}]' ...[OPTIONS]

    Para obter uma lista completa de parâmetros e valores para comandos da CLI, consulte a Referência de Comandos da CLI.

  • Execute a operação <<<API LINK PLACEHOLDER>> para criar uma regra de inspeção de túnel.