ファイアウォール・ポリシー・コンポーネントの一括インポートのテンプレート
JSONファイル・テンプレートをダウンロードし、それを使用して、アドレス・リスト、URLリスト、サービスおよびサービス・リスト、アプリケーションとアプリケーション・リスト、復号化ルールとプロファイル、マップされたシークレット、セキュリティ・ルールなどのネットワーク・ファイアウォール・ポリシー・コンポーネントを一括インポートします。
JSONテンプレートを使用すると、アドレス・リスト、URLリスト、サービスおよびサービス・リスト、アプリケーションとアプリケーション・リスト、復号化ルールとプロファイル、マップされたシークレット、セキュリティ・ルールなどのネットワーク・ファイアウォール・ポリシー・コンポーネントを一括インポートできます。
このページには、各コンポーネント・タイプ、必須パラメータおよびテンプレートの使用時に注意する必要がある制約のJSONテンプレートが用意されています。
完了したJSONファイルをアップロードする手順は、ファイアウォール・ポリシー・コンポーネントの一括インポートを参照してください。
- アップロード用のJSONファイルに含まれるリソースは、別のリソースで参照される前にポリシーにすでに存在している必要があります。たとえば、アプリケーション・リストをアップロードする前に、まずリストで使用するすべてのアプリケーションをアップロードする必要があります。
- アップロードできる最大ファイル・サイズは5MBです。
アドレス・リスト・テンプレート
アクセスを許可または拒否する住所のリストを作成します。個々のIPv4またはIPv6 IPアドレス、CIDRブロックまたはFQDNアドレスを指定できます。
各アドレス・リストには、最大1,000個のアドレスを含めることができます。ポリシーには、最大20,000個のIPアドレス・リストと2,000個のFQDNアドレス・リストを含めることができます。詳細は、ファイアウォール・ポリシー・ルールを参照してください。
- アドレス・リスト・テンプレートのダウンロード
nametype(IPまたはFQDNのみ)addresses
- 「名前」は、ポリシー内で一意である必要があり、文字、数字、スペース、ハイフン(-)またはアンダースコア(_)のみを含めることができます。ハイフンの後に英数字が続く必要があります。最小: 2文字、最大: 28文字。
- 住所は、指定されたタイプに基づいて検証されます。タイプに無効な住所を追加しないでください。
アプリケーション・リスト・テンプレート
アクセスを許可または拒否するアプリケーションのリストを作成します。ポリシーには最大2,500個のアプリケーション・リストを含めることができます。各アプリケーション・リストには最大200個のアプリケーションを含めることができます。詳細については、Firewall Policy Rulesを参照してください。
- アプリケーション・リスト・テンプレートのダウンロード
name
- 「名前」は、ポリシー内で一意である必要があり、文字、数字、空白、ハイフン(-)またはアンダースコア(_)のみを含めることができます。ハイフンの後に英数字が続く必要があります。最小: 2文字、最大: 28文字。
- アプリケーションをリストしない場合は、テンプレートの
"apps"パラメータに空の配列を指定します。 - アプリケーションは、インポートされたリストで参照される前にポリシーにすでに存在している必要があります。
アプリケーション・テンプレート
アプリケーションは、使用するプロトコルに基づいて署名によって定義されます。レイヤー7検査は、一致するアプリケーションを識別するために使用されます。各ポリシーには、最大6,000個のアプリケーションを含めることができます。詳細については、Firewall Policy Rulesを参照してください。
- アプリケーション・テンプレートのダウンロード
nametype(ICMPまたはICMP_V6のみ)icmpType
ICMPタイプおよびコードの詳細は、Internet Control Message Protocol (ICMP) Parametersを参照してください。
追加の制約:
- 「名前」は、ポリシー内で一意である必要があり、文字、数字、空白、ハイフン(-)またはアンダースコア(_)のみを含めることができます。ハイフンの後に英数字が続く必要があります。最小: 2文字、最大: 28文字。
サービス・リスト・テンプレート
アクセスを許可または拒否するサービスのリストを作成し、それぞれのポート範囲を定義します。ポリシーには最大2,000個のサービス・リストを含めることができます。サービス・リストには最大200個のサービスを含めることができます。詳細については、Firewall Policy Rulesを参照してください。
- サービス・リスト・テンプレートのダウンロード
name
追加の制約:
- 「名前」は、ポリシー内で一意である必要があり、文字、数字、空白、ハイフン(-)またはアンダースコア(_)のみを含めることができます。ハイフンの後に英数字が続く必要があります。最小: 2文字、最大: 28文字。
- サービスをリストしない場合は、テンプレートの
servicesパラメータに空の配列を指定します。 - サービスは、インポートされたリストで参照される前にポリシーにすでに存在している必要があります。
サービス・テンプレート
サービスは、使用するポートに基づいて署名によって識別されます。レイヤー4検査は、一致するサービスを識別するために使用されます。各ポリシーには最大1,900個のサービスを含めることができます。詳細については、Firewall Policy Rulesを参照してください。
- サービス・テンプレートのダウンロード
nametype(TCPまたはUDPのみ)portRanges
追加の制約:
- 「名前」は、ポリシー内で一意である必要があり、文字、数字、空白、ハイフン(-)またはアンダースコア(_)のみを含めることができます。ハイフンの後に英数字が続く必要があります。最小: 2文字、最大: 28文字。
- 各サービスに対して最大10個のポート範囲を定義できます。
URLリスト・テンプレート
アクセスを許可または拒否するURLのリストを作成します。ポリシーには最大1,000個のURLリストを含めることができます。各リストには最大1,000個のURLを含めることができます。ポリシーで許可されるURLの合計最大数は25,000です。詳細については、Firewall Policy Rulesを参照してください。
- URLリスト・テンプレートのダウンロード
nameurlstype(SIMPLEのみ)
追加の制約:
- 「名前」は、ポリシー内で一意である必要があり、文字、数字、空白、ハイフン(-)またはアンダースコア(_)のみを含めることができます。ハイフンの後に英数字が続く必要があります。最小: 2文字、最大: 28文字。
urlsは空の配列にできません。これらのURLをリストに含める複数のURLオブジェクトを指定します。
マップされたシークレット・テンプレート
マップされたシークレットは、Oracle Cloud Infrastructure Vaultで作成し、インバウンドまたはアウトバウンドSSLキーにマップするシークレットです。このシークレットは、SSL転送プロキシまたはSSLインバウンド検証を使用してSSL/TLSトラフィックを暗号化および検証するために使用されます。ポリシーには、最大300個のSSLインバウンド検査マップ済シークレットと最大1つのSSL転送プロキシ・マップ済シークレットを含めることができます。詳細については、Firewall Policy Rulesを参照してください。
- マップされたシークレット・テンプレートのダウンロード
namesource(OCI_VAULTのみ)type(SSL_INBOUND_INSPECTIONまたはSSL_FORWARD_PROXYのみ)vaultSecretIdversionNumber
追加の制約:
- 「名前」は、ポリシー内で一意である必要があり、文字、数字、空白、ハイフン(-)またはアンダースコア(_)のみを含めることができます。ハイフンの後に英数字が続く必要があります。最小: 6文字、最大: 58文字。
- ポリシーごとに、タイプ
SSL_FORWARD_PROXYのマップされたシークレットを最大1つ作成できます。
暗号化プロファイル・テンプレート
復号化プロファイルを作成して、SSL転送プロキシとSSLインバウンド検証でセッション・モードのチェック、サーバーのチェックおよび失敗のチェックがどのように実行されるかを制御します。ポリシーには、最大500個の復号化プロファイルを含めることができます。詳細は、ファイアウォール・ポリシー・ルールを参照してください
- 復号化プロファイル・テンプレートのダウンロード
nametype(SSL_INBOUND_INSPECTIONまたはSSL_FORWARD_PROXYのみ)
追加の必須パラメータ:
typeが"SSL_INBOUND_INSPECTION"の場合、次のパラメータは必須です。isUnsupportedVersionBlocked(trueまたはfalse)isUnsupportedCipherBlocked(trueまたはfalse)isOutOfCapacityBlocked(trueまたはfalse)
typeが"SSL_FORWARD_PROXY"の場合、次のパラメータは必須です。isExpiredCertificateBlocked(trueまたはfalse)isUntrustedIssuerBlocked(trueまたはfalse)isRevocationStatusTimeoutBlocked(trueまたはfalse)isUnsupportedVersionBlocked(trueまたはfalse)isUnsupportedCipherBlocked(trueまたはfalse)isUnknownRevocationStatusBlocked(trueまたはfalse)areCertificateExtensionsRestricted(trueまたはfalse)isAutoIncludeAltName(trueまたはfalse)isOutOfCapacityBlocked(trueまたはfalse)
追加の制約:
- 「名前」は、ポリシー内で一意である必要があり、文字、数字、空白、ハイフン(-)またはアンダースコア(_)のみを含めることができます。ハイフンの後に英数字が続く必要があります。最小: 2文字、最大: 63文字。
セキュリティ・ルール・テンプレート
セキュリティ・ルールは、暗号化ルールの後に適用されます。ポリシーには、最大10,000のセキュリティ・ルールを含めることができます。詳細については、Firewall Policy Rulesを参照してください。
- セキュリティ・ルール・テンプレートのダウンロード
nameconditionpositionaction(ALLOW、REJECT、DROPまたはINSPECTのみ)
追加の制約:
- 「名前」は、ポリシー内で一意である必要があり、文字、数字、空白、ハイフン(-)またはアンダースコア(_)のみを含めることができます。ハイフンの後に英数字が続く必要があります。最小: 2文字、最大: 63文字。
positionパラメータが空の場合、ルールはリストの最初のルールとして作成されます。- 一致条件フィールドに空の値がある場合は、そのフィールドに空の配列を指定します。
ACTIONがINSPECTとして指定されている場合は、パラメータinspectionが必要です。inspectionに指定できる値は、INTRUSION_DETECTIONおよびINTRUSION_PREVENTIONです。
復号化ルール・テンプレート
暗号化ルールは、セキュリティ・ルールの前に適用されます。ポリシーには最大1,000の復号化ルールを設定できます。詳細については、Firewall Policy Rulesを参照してください。
- 復号化ルール・テンプレートのダウンロード
nameconditionaction(NO_DECRYPTまたはDECRYPTのみ)position
追加の制約:
- 「名前」は、ポリシー内で一意である必要があり、文字、数字、空白、ハイフン(-)またはアンダースコア(_)のみを含めることができます。ハイフンの後に英数字が続く必要があります。最小: 2文字、最大: 63文字。
ACTIONがDECRYPTとして指定されている場合は、decryptionProfileおよびmappedSecretパラメータが必要です。指定されたdecryptionProfileおよびmappedSecretのTYPE値は同じである必要があります(SSL_INBOUND_INSPECTIONまたはSSL_FORWARD_PROXY)。
トンネル検査ルール・テンプレート
トンネル検査ルールを使用して、OCI仮想テスト・アクセス・ポイント(VTAP)サービスを使用してOracleリソースにミラー化されたトラフィックを検査します。VTAPソースで取得されたトラフィックはVXLANにカプセル化されてから、VTAPターゲットに送信されます。RFC 7348を参照してください。ポリシーには、最大500個のトンネル検査ルールを設定できます。詳細については、Firewall Policy Rulesを参照してください。
- トンネル検査ルール・テンプレートをダウンロードします。
namecondition(sourceAddress,destinationAddress)action(INSPECT or INSPECT_AND_CAPTURE_LOGのみ)positionprotocol(VXLANのみ)profile(mustReturnTrafficToSource":trueのみ)
追加の制約:
- 「名前」は、ポリシー内で一意である必要があり、文字、数字、空白、ハイフン(-)またはアンダースコア(_)のみを含めることができます。ハイフンの後に英数字が続く必要があります。最小: 2文字、最大: 63文字。