ファイアウォール・ポリシー・コンポーネントをインポートするためのテンプレート
JSONファイル・テンプレートをダウンロードし、それを使用して、アドレス・リスト、URLリスト、サービスおよびサービス・リスト、アプリケーションおよびアプリケーション・リスト、復号化ルールおよびプロファイル、マップされたシークレット、NATルールおよびセキュリティ・ルールなどのネットワーク・ファイアウォール・ポリシー・コンポーネントをインポートします。
JSONテンプレートを使用すると、アドレス・リスト、URLリスト、サービスおよびサービス・リスト、アプリケーションとアプリケーション・リスト、復号化ルールとプロファイル、マップされたシークレット、セキュリティ・ルールなどのネットワーク・ファイアウォール・ポリシー・コンポーネントを一括インポートできます。
このページには、各コンポーネント・タイプ、必須パラメータおよびテンプレートの使用時に注意する必要がある制約のJSONテンプレートが用意されています。
完了したJSONファイルをアップロードするには、ファイアウォール・ポリシー・コンポーネントのインポートを参照してください。
- アップロード用のJSONファイルに含まれるリソースは、別のリソースで参照される前にポリシーにすでに存在している必要があります。たとえば、アプリケーション・リストをアップロードする前に、まずリストで使用するすべてのアプリケーションをアップロードする必要があります。
- アップロードできる最大ファイル・サイズは5MBです。
住所リストをインポートするテンプレート
アクセスを許可または拒否する住所のリストを作成します。個々のIPv4またはIPv6 IPアドレス、CIDRブロックまたはFQDNアドレスを指定できます。
各アドレス・リストには最大1,000個のアドレスを含めることができます。ポリシーには、最大20,000個のIPアドレス・リストと2,000個のFQDNアドレス・リストを含めることができます。
- アドレス・リスト・テンプレートのダウンロード
nametype(IPまたはFQDNのみ)addresses
- 「名前」は、ポリシー内で一意である必要があり、文字、数字、スペース、ハイフン(-)またはアンダースコア(_)のみを含めることができます。ハイフンの後に英数字が続く必要があります。最小: 2文字、最大: 28文字。
- 住所は、指定されたタイプに基づいて検証されます。タイプに無効な住所を追加しないでください。
アプリケーション・リストをインポートするテンプレート
アクセスを許可または拒否するアプリケーションのリストを作成します。ポリシーには、最大2,500個のアプリケーション・リストを含めることができます。各アプリケーション・リストには最大200個のアプリケーションを含めることができます。
- アプリケーション・リスト・テンプレートのダウンロード
name
- 「名前」は、ポリシー内で一意である必要があり、文字、数字、空白、ハイフン(-)またはアンダースコア(_)のみを含めることができます。ハイフンの後に英数字が続く必要があります。最小: 2文字、最大: 28文字。
- アプリケーションをリストしない場合は、テンプレートの
"apps"パラメータに空の配列を指定します。 - アプリケーションは、インポートされたリストで参照される前にポリシーにすでに存在している必要があります。
アプリケーションをインポートするためのテンプレート
アプリケーションは、使用するプロトコルに基づいて署名によって定義されます。レイヤー7検査は、一致するアプリケーションを識別するために使用されます。各ポリシーには、最大6,000個のアプリケーションを含めることができます。
- アプリケーション・テンプレートのダウンロード
nametype(ICMPまたはICMP_V6のみ)icmpType
追加の制約:
- 「名前」は、ポリシー内で一意である必要があり、文字、数字、空白、ハイフン(-)またはアンダースコア(_)のみを含めることができます。ハイフンの後に英数字が続く必要があります。最小: 2文字、最大: 28文字。
サービス・リストをインポートするテンプレート
アクセスを許可または拒否するサービスのリストを作成し、それぞれのポート範囲を定義します。ポリシーには、最大2,000のサービス・リストを含めることができます。サービス・リストには最大200個のサービスを含めることができます。
- サービス・リスト・テンプレートのダウンロード
name
追加の制約:
- 「名前」は、ポリシー内で一意である必要があり、文字、数字、空白、ハイフン(-)またはアンダースコア(_)のみを含めることができます。ハイフンの後に英数字が続く必要があります。最小: 2文字、最大: 28文字。
- サービスをリストしない場合は、テンプレートの
servicesパラメータに空の配列を指定します。 - サービスは、インポートされたリストで参照される前にポリシーにすでに存在している必要があります。
サービスをインポートするテンプレート
サービスは、使用するポートに基づいて署名によって識別されます。レイヤー4検査は、一致するサービスを識別するために使用されます。各ポリシーには最大1,900個のサービスを含めることができます。
- サービス・テンプレートのダウンロード
nametype(TCPまたはUDPのみ)portRanges
追加の制約:
- 「名前」は、ポリシー内で一意である必要があり、文字、数字、空白、ハイフン(-)またはアンダースコア(_)のみを含めることができます。ハイフンの後に英数字が続く必要があります。最小: 2文字、最大: 28文字。
- 各サービスに対して最大10個のポート範囲を定義できます。
URLリストをインポートするテンプレート
アクセスを許可または拒否するURLのリストを作成します。ポリシーには、最大1,000個のURLリストを含めることができます。各リストには最大1,000個のURLを含めることができます。ポリシーで許可されるURLの最大数は25,000です。
- URLリスト・テンプレートのダウンロード
nameurlstype(SIMPLEのみ)
追加の制約:
- 「名前」は、ポリシー内で一意である必要があり、文字、数字、空白、ハイフン(-)またはアンダースコア(_)のみを含めることができます。ハイフンの後に英数字が続く必要があります。最小: 2文字、最大: 28文字。
urlsは空の配列にできません。これらのURLをリストに含める複数のURLオブジェクトを指定します。
マップされたシークレットをインポートするテンプレート
マップされたシークレットは、Vaultサービスで作成し、インバウンドまたはアウトバウンドSSLキーにマップするシークレットです。このシークレットは、SSL転送プロキシまたはSSLインバウンド検証を使用してSSL/TLSトラフィックを暗号化および検証するために使用されます。ポリシーには、最大300個のSSLインバウンド検査マップ済シークレットと最大1つのSSL転送プロキシ・マップ済シークレットを含めることができます。
- マップされたシークレット・テンプレートのダウンロード
namesource(OCI_VAULTのみ)type(SSL_INBOUND_INSPECTIONまたはSSL_FORWARD_PROXYのみ)vaultSecretIdversionNumber
追加の制約:
- 「名前」は、ポリシー内で一意である必要があり、文字、数字、空白、ハイフン(-)またはアンダースコア(_)のみを含めることができます。ハイフンの後に英数字が続く必要があります。最小: 6文字、最大: 58文字。
- ポリシーごとに、タイプ
SSL_FORWARD_PROXYのマップされたシークレットを最大1つ作成できます。
復号化プロファイルをインポートするテンプレート
復号化プロファイルを作成して、SSL転送プロキシとSSLインバウンド検証でセッション・モードのチェック、サーバーのチェックおよび失敗のチェックがどのように実行されるかを制御します。ポリシーには、最大500個の復号化プロファイルを含めることができます。
- 復号化プロファイル・テンプレートのダウンロード
nametype(SSL_INBOUND_INSPECTIONまたはSSL_FORWARD_PROXYのみ)
追加の必須パラメータ:
typeが"SSL_INBOUND_INSPECTION"の場合、次のパラメータは必須です。isUnsupportedVersionBlocked(trueまたはfalse)isUnsupportedCipherBlocked(trueまたはfalse)isOutOfCapacityBlocked(trueまたはfalse)
typeが"SSL_FORWARD_PROXY"の場合、次のパラメータは必須です。isExpiredCertificateBlocked(trueまたはfalse)isUntrustedIssuerBlocked(trueまたはfalse)isRevocationStatusTimeoutBlocked(trueまたはfalse)isUnsupportedVersionBlocked(trueまたはfalse)isUnsupportedCipherBlocked(trueまたはfalse)isUnknownRevocationStatusBlocked(trueまたはfalse)areCertificateExtensionsRestricted(trueまたはfalse)isAutoIncludeAltName(trueまたはfalse)isOutOfCapacityBlocked(trueまたはfalse)
追加の制約:
- 「名前」は、ポリシー内で一意である必要があり、文字、数字、空白、ハイフン(-)またはアンダースコア(_)のみを含めることができます。ハイフンの後に英数字が続く必要があります。最小: 2文字、最大: 63文字。
セキュリティ・ルールをインポートするためのテンプレート
セキュリティ・ルールは、復号化ルールの後に適用されます。ポリシーには、最大10,000のセキュリティ・ルールを含めることができます。
- セキュリティ・ルール・テンプレートのダウンロード
nameconditionpositionaction(ALLOW、REJECT、DROPまたはINSPECTのみ)
追加の制約:
- 「名前」は、ポリシー内で一意である必要があり、文字、数字、空白、ハイフン(-)またはアンダースコア(_)のみを含めることができます。ハイフンの後に英数字が続く必要があります。最小: 2文字、最大: 63文字。
positionパラメータが空の場合、ルールはリストの最初のルールとして作成されます。- 一致条件フィールドに空の値がある場合は、そのフィールドに空の配列を指定します。
ACTIONがINSPECTとして指定されている場合は、パラメータinspectionが必要です。inspectionに指定できる値は、INTRUSION_DETECTIONおよびINTRUSION_PREVENTIONです。
復号化ルールをインポートするテンプレート
復号化ルールはセキュリティ・ルールの前に適用されます。ポリシーには最大1,000個の復号化ルールを含めることができます。
- 復号化ルール・テンプレートのダウンロード
nameconditionaction(NO_DECRYPTまたはDECRYPTのみ)position
追加の制約:
- 「名前」は、ポリシー内で一意である必要があり、文字、数字、空白、ハイフン(-)またはアンダースコア(_)のみを含めることができます。ハイフンの後に英数字が続く必要があります。最小: 2文字、最大: 63文字。
ACTIONがDECRYPTとして指定されている場合は、decryptionProfileおよびmappedSecretパラメータが必要です。指定されたdecryptionProfileおよびmappedSecretのTYPE値は同じである必要があります(SSL_INBOUND_INSPECTIONまたはSSL_FORWARD_PROXY)。
トンネル検査ルールをインポートするテンプレート
トンネル検査ルールを使用して、OCI仮想テスト・アクセス・ポイント(VTAP)サービスを使用してOracleリソースにミラー化されたトラフィックを検査します。VTAPソースで取得されたトラフィックはVXLANにカプセル化されてから、VTAPターゲットに送信されます。RFC 7348を参照してください。ポリシーには、最大500個のトンネル検査ルールを設定できます。
- トンネル検査ルール・テンプレートをダウンロードします。
namecondition(sourceAddress,destinationAddress)action(INSPECT or INSPECT_AND_CAPTURE_LOGのみ)positionprotocol(VXLANのみ)profile(mustReturnTrafficToSource":trueのみ)
追加の制約:
- 「名前」は、ポリシー内で一意である必要があり、文字、数字、空白、ハイフン(-)またはアンダースコア(_)のみを含めることができます。ハイフンの後に英数字が続く必要があります。最小: 2文字、最大: 63文字。
NATルールをインポートするテンプレート
NATルールを使用して、一連のIPアドレスを対応するネットワーク・アドレス変換(NAT) IPアドレスのセットにマップします。
- NATルール・テンプレートをダウンロードします。
Name:Type:Condition:Position:
追加の制約:
- 「名前」は、ポリシー内で一意である必要があり、文字、数字、スペース、ハイフン(-)またはアンダースコア(_)のみを使用できます。ハイフンの後に英数字が続く必要があります。最小: 2文字、最大: 63文字。
- 各ファイアウォール・ポリシーに対するNATルールの最大数: 2000