Oracle Cloud Infrastructureドキュメント

ファイアウォール・ポリシー・ルール

ファイアウォール・ポリシー・ルールは、ネットワーク・パケットが照合される基準のセットです。

ルールはファイアウォール・ポリシーに構成され、ポリシーはファイアウォールに関連付けられます。ファイアウォールでは、関連付けられたポリシー内のルールに従ってトラフィックを許可または拒否します。

ルールは、次の特定の基準を使用してネットワーク・パケットに適用されます:
  • 暗号化ルールは、常にセキュリティ・ルールのに適用されます。
  • 暗号化ルールおよびセキュリティ・ルールは、ユーザーが定義できる優先順位を使用して適用されます。
ポリシーをファイアウォールに関連付けると、ファイアウォールはポリシー内のルールに基づいてトラフィックの許可または拒否を次のように開始します:
  1. ファイアウォールによって、復号化ルールが優先度リストの順序で評価されます。
  2. 復号化ルールがパケット情報に一致すると、指定したルール・アクションがファイアウォールによって適用されます。
  3. ルール・アクションが適用されると、ファイアウォールではそれ以上の復号化ルールは評価されません。
  4. パケット情報が復号化ルールに一致しない場合、ファイアウォールはパケットを暗号化しません。
  5. ファイアウォールによって、セキュリティ・ルールが優先度リストの順序で評価されます。
  6. セキュリティ・ルールがパケット情報に一致すると、指定したルール・アクションがファイアウォールによって適用されます。
  7. ルール・アクションが適用されると、ファイアウォールではそれ以上のセキュリティ・ルールは評価されません。
  8. パケット情報がセキュリティ・ルールに一致しない場合、ファイアウォールはパケットを削除します。
重要

  • ルールはオプションですが、ファイアウォールで使用するポリシーに少なくとも1つのルールが指定されていない場合、ファイアウォールによってすべてのネットワーク・トラフィックが拒否されます。
  • デフォルトでは、新規に作成する各ルールが優先順位リストの先頭になります。優先順位はいつでも変更できます。

復号化ルールについて

復号化ルールは、指定されたソース、宛先、またはその両方からのトラフィックを復号化します。トラフィックの指定されたソースと宛先の一致条件は、ルールを構築する前にポリシーで構成するアドレス・リストで構成されます。

指定されたソースと宛先の照合条件が一致すると、ファイアウォールはルール・アクションを実行します。次の処理を選択できます。

  • SSL転送プロキシを含むトラフィックを復号化
  • SSLインバウンド検証を含むトラフィックを復号化
  • トラフィックを暗号化しない。

復号化を選択した場合、トラフィックを復号化する際に適用する復号化プロファイルおよびマップされたシークレットを選択します。ルールを構築する前に、ポリシーで復号化プロファイルおよびマップされたシークレットを構成します。デフォルトでは、復号化ルールの優先順位は作成順です。優先順位を変更できます。

制限:
  • 各ポリシーの復号化ルールの最大数: 1,000

暗号化ルールを作成するには、「暗号化ルールの作成」を参照してください。

セキュリティ・ルールについて

ファイアウォールでは、セキュリティ・ルールを使用して、許可またはブロックされるネットワーク・トラフィックを決定します。各ルールには、ルールを適用するためにパケット情報が一致する必要がある一連の基準が含まれています。これは、ルール一致条件と呼ばれます。

ソースと宛先のアドレス、アプリケーション、サービスまたはURLに基づいて照合するようにセキュリティ・ルールを構成できます。トラフィックの指定されたソースと宛先の一致条件は、ルールを構築する前にポリシーで構成するリストで構成されます。

重要

セキュリティ・ルールに一致基準が定義されていない場合(ルールに空のリストが指定されている場合)、ルールはワイルドカード(任意の)基準に一致します。この動作は、ルールで調べられたすべてのトラフィックに適用されます。
ルール・アクションは、指定した条件と一致した場合にファイアウォールがパケットを処理する方法を定義します。ファイアウォールでは、次のアクションを実行できます:
  • トラフィックを許可: トラフィックの続行は許可されます。
  • トラフィックの削除:トラフィックはサイレントに削除され、リセットの通知は送信されません。
  • トラフィックを拒否:トラフィックは削除され、リセット通知が送信されます。
  • 侵入検出:トラフィックが記録されます。
  • 侵入防止:トラフィックがブロックされます。
    重要

    侵入検知および侵入防止を使用するには、ロギングも有効にする必要があります。Logging Firewallアクティビティを参照してください。
制限:
  • 各ポリシーの最大セキュリティ・ルール数: 10,000

セキュリティ・ルールを作成するには、セキュリティ・ルールの作成を参照してください。

トンネル検査規則について

トンネル検査ルールを使用して、OCI仮想テスト・アクセス・ポイント(VTAP)サービスを使用してOracleリソースにミラー化されたトラフィックを検査します。VTAPソースで取得されたトラフィックはVXLANにカプセル化されてから、VTAPターゲットに送信されます。RFC 7348を参照してください。

すべてのトラフィックをミラー化することも、取得フィルタを使用して関心のあるトラフィックのみをミラー化することもできます。詳細は、仮想テスト・アクセス・ポイントの概要を参照してください。

指定したソースと宛先の一致条件が満たされると、ファイアウォールはデフォルトのPalo Alto Networks®トンネル検査プロファイルを適用します。プロファイルには次の特性があり、編集できません:

  • プロトコル: VXLAN
  • 最大トンネル検査レベル: 1レベルのカプセル化が検査されます
  • スキャンしたVXLANトンネルをソースに戻します: True。カプセル化されたパケットを元のVXLANトンネルエンドポイント(VTEP)に返します。

VXLANトラフィックを表示および識別できるトンネル検査ログを有効にすることができます。

制限:
  • 各ポリシーの最大トンネル検査ルール数: 500

トンネル検査ルールを作成するには、トンネル検査ルールの作成を参照してください。

ファイアウォール・ポリシー・ルール・コンポーネント

ファイアウォール・ポリシー・ルール・コンポーネントには、ファイアウォール・ポリシー・リストおよび復号化プロファイルが含まれます。ファイアウォール・ポリシー・リストを作成して、ファイアウォール・ポリシーのルールで使用するアプリケーション、サービス、URLまたはアドレスをグループ化します。リスト内のすべての項目は、ルールで使用される場合、同じように扱われます。ルールに項目を含めるには、まずリストに追加する必要があります。リストは、ルールで参照できます。

マップされたシークレットを含む復号化プロファイルを作成して、SSL転送プロキシとSSLインバウンド検証でセッション・モードのチェック、サーバーのチェックおよび失敗のチェックがどのように実行されるかを制御します。

ファイアウォール・ポリシー・ルール・コンポーネントの作成についてさらに学習します。

マップされたシークレットおよび復号化プロファイル

ファイアウォール・ポリシーで、証明書認証を使用する暗号化ルールが使用されている場合、マップされたシークレットおよび暗号化プロファイルを設定する必要があります。

マップされたシークレットは、Vaultサービスで作成し、インバウンドまたはアウトバウンドSSLキーにマップするシークレットです。シークレットは、SSL転送プロキシおよびSSLインバウンド検証を使用したSSL/TLSトラフィックの復号化と検証に使用されます。

SSL転送プロキシまたはSSLインバウンド検査を使用する場合は、ルールを使用してポリシーの構成を開始する前に、ボールトおよびシークレットを設定します。ネットワーク・トラフィックの復号化および検査の設定を参照してください。

暗号化プロファイルは、SSL転送プロキシとSSLインバウンド検証でセッション・モードのチェック、サーバーのチェックおよび失敗のチェックがどのように実行されるかを制御します。

次のオプションは、SSL転送プロキシの復号化プロファイルで使用できます:
  • 期限切れ証明書をブロック:サーバーの証明書が期限切れの場合にセッションをブロックします。このオプションは、安全でない可能性のあるサイトへのアクセスを防止します。このオプションを選択しない場合、ユーザーは悪意のある可能性があるサイトに接続して処理でき、接続を試みると警告メッセージが表示されますが、接続は防止されません。
  • 信頼されていない発行者をブロック:サーバーの証明書が信頼されていない認証局(CA)によって発行されている場合、セッションをブロックします。信頼されていない発行者は、man-in-the-middle攻撃、リプレイ攻撃、またはその他の攻撃を示している可能性があります。
  • タイムアウトした証明書をブロック:証明書ステータス・チェックがタイムアウトした場合にセッションをブロックします。証明書ステータス・チェックでは、失効サーバーの証明書失効リスト(CRL)を使用するか、オンライン証明書ステータス・プロトコル(OCSP)を使用して、証明書を発行したCAがそれを取り消したかどうかを確認します。失効サーバーの応答が遅くなる場合があり、証明書が有効であってもセッションがタイムアウトする可能性があります。
  • サポートされていない暗号をブロック: SSLハンドシェイクで指定されたSSL暗号スイートがサポートされていない場合にセッションをブロックします。
  • サポートされていないバージョンのブロック: SSLハンドシェイクで指定されたSSLバージョンがサポートされていない場合にセッションをブロックします。
  • 未知の証明書をブロック:証明書ステータスが「不明」として返される場合にセッションをブロックします。証明書ステータスは多くの理由で不明となる可能性があるため、このオプションは、一般的なセキュリティではなく、ネットワークのセキュリティが強化された領域で使用してください。
  • 証明書の拡張を制限:拡張をキー用途と拡張キー用途に制限します。このオプションは、デプロイメントに他の証明書拡張が必要ない場合にのみ使用します。
  • 代替名を自動的に含める:サーバー証明書がない場合に、サブジェクト代替名(SAN)を偽装証明書に自動的に追加します。
  • リソースがない場合にブロック:使用可能な処理リソースが不足している場合にセッションをブロックします。このオプションを使用しない場合、暗号化されたトラフィックは暗号化されたままネットワークに入るため、危険な接続となる可能性があります。このオプションを使用すると、サイトが一時的にアクセス不能になることで、ユーザー・エクスペリエンスが影響を受ける可能性があります。
次のオプションは、SSLインバウンド検証の暗号化解除プロファイルで使用できます:
  • バージョンがサポートされていないセッションをブロック:弱く、サポートされていないバージョンのSSLプロトコルを持つセッションをブロックします。
  • サポートされていない暗号をブロック: SSLハンドシェイクで指定されたSSL暗号スイートがサポートされていない場合にセッションをブロックします。
  • リソースがない場合にブロック:使用可能な処理リソースが不足している場合にセッションをブロックします。このオプションを使用しない場合、暗号化されたトラフィックは暗号化されたままネットワークに入るため、危険な接続となる可能性があります。このオプションを使用すると、サイトが一時的にアクセス不能になることで、ユーザー・エクスペリエンスが影響を受ける可能性があります。
制限:
  • 各ポリシーのマップされたシークレットの最大数: 300
  • 各ポリシーのSSLインバウンド・マップ済シークレットの最大数: 300
  • 各ポリシーのSSL転送プロキシ・マップ済シークレットの最大数: 1
  • 各ポリシーの復号化プロファイルの最大数: 500

マップされたシークレットを作成するには、マップされたシークレットの作成を参照してください。

復号化プロファイルを作成するには、暗号化プロファイルの作成を参照してください。