Oracle Cloud Infrastructureドキュメント

ファイアウォール・ポリシーのアップグレード

新しいバージョンのファイアウォール・ポリシーを使用できます。アップグレードには、ポリシーに対する柔軟性とコンポーネント制限の強化を実現する新機能が含まれています。

アップグレードされたポリシーの新機能

  • ポリシー・コンポーネントの制限の増加: ポリシー・コンポーネントは、以前にポリシーの属性として構成されていました。新しいバージョンでは、ポリシー・コンポーネントが独自の名前を持つ個別のオブジェクトとしてリファクタリングされます。これにより、関連する各ポリシーに含めることができるコンポーネントの数が増え、ポリシー内のリスト間でコンポーネントを移動できるようになります。各コンポーネントとその制限の詳細を示す、このトピックの後半の表を参照してください。
  • 操作の改善: ファイアウォールを更新すると、接続がリセットされなくなります。
  • ポリシー・コンポーネントの一括インポート: .jsonファイルを使用してポリシー・コンポーネントを一括インポートできるようになりました。最大許容コンポーネントを1つのファイルにインポートできます。ネットワーク・ファイアウォール・サービスには、ダウンロードしてインポート・ファイルの作成に使用できるコンポーネント・タイプごとに.jsonテンプレートが用意されています。詳細は、ファイアウォール・ポリシー・コンポーネントの一括インポートを参照してください。
  • セキュリティ・ルールと復号化ルールを簡単に並べ替える:ルールを作成または編集するときに、ポリシー内の他のルールとの関連でルールの位置を指定できます。リストの最初または最後のルールとしてルールを指定する以外に、ルールのカスタム位置を指定できます。カスタム位置を使用すると、リスト内の別のルールの前または後にルール位置を設定できます。ルールの作成時、ルールの編集時、またはポリシー詳細ページに表示されるリスト内のルールの順序を変更できます。詳細は、暗号化キー・ルールの作成およびセキュリティ・ルールの作成を参照してください。
  • コンポーネントの検索:コンポーネントは独立したオブジェクトであるため、検索機能を使用して名前で検索できます。
  • 容易な移行:次のワークフローを使用して、ポリシーを新しいバージョンにアップグレードします。ポリシーをアップグレードすると、関連付けられたファイアウォールもアップグレードされます。

ポリシー・コンポーネントの詳細

次の表に、以前と現在の最大値およびAPIオブジェクト名を持つ様々なコンポーネントを示します。各コンポーネントの属性と依存関係、およびそれらの作成方法の詳細は、ファイアウォール・ポリシー・ルールを参照してください。
コンポーネント 前の最大値 new max API
セキュリティ・ルール 25各ポリシー ポリシーごとに10,000
  • SecurityRule
  • CreateSecurityRule
  • UpdateSecurityRule
  • DeleteSecurityRule
  • GetSecurityRule
  • ListSecurityRules
  • BulkUploadSecurityRules
復号化ルール 25各ポリシー ポリシーごとに1,000
  • DecryptionRule
  • CreateDecryptionRule
  • UpdateDecryptionRule
  • DeleteDecryptionRule
  • GetDecryptionRule
  • ListDecryptionRules
  • BulkUploadDecryptionRules
アプリケーション・リスト 25各ポリシー ポリシーごとに2,500
  • ApplicationGroup
  • CreateApplicationGroup
  • UpdateApplicationGroup
  • DeleteApplicationGroup
  • GetApplicationGroup
  • ListApplicationGroups
  • BulkUploadApplicationGroups
アプリケーション NOT APPLICABLE (新規コンポーネント: 以前はアプリケーション・リストの属性) アプリケーション・リストごとに1,000。ポリシーごとに6,000アプリケーション。
  • Application
  • CreateApplication
  • UpdateApplication
  • DeleteApplication
  • GetApplication
  • ListApplications
  • BulkUploadApplications
サービス・リスト NOT APPLICABLE (新規コンポーネント) ポリシーごとに2,500
  • ServiceList
  • CreateServiceList
  • UpdateServiceList
  • DeleteServiceList
  • GetServiceList
  • ListServiceLists
  • BulkUploadServiceLists
サービス NOT APPLICABLE (新規コンポーネント) サービス・リストごとに1,000。ポリシーごとに1,900サービス。
  • Service
  • CreateService
  • UpdateService
  • DeleteService
  • GetService
  • ListServices
  • BulkUploadServices
URLリスト 25各ポリシー
  • ポリシーごとに1,000のURLリスト
  • リストごとに1,000個のURL。
  • UrlList
  • CreateUrlList
  • UpdateUrlList
  • DeleteUrlList
  • GetUrlList
  • ListUrlLists
  • BulkUploadUrlLists
アドレスリスト 25各ポリシー
  • ポリシーごとに合計20,000のアドレス・リスト
  • 各ポリシーの2,000 FQDNタイプ・アドレス
  • リストごとに1,000アドレス
  • AddressList
  • CreateAddressList
  • UpdateAddressList
  • DeleteAddressList
  • GetAddressList
  • ListAddressLists
  • BulkUploadAddressLists
マップされたシークレット 25各ポリシー ポリシーごとに300
  • MappedSecret
  • CreateMappedSecret
  • UpdateMappedSecret
  • DeleteMappedSecret
  • GetMappedSecret
  • ListMappedSecrets
  • BulkUploadMappedSecrets
復号化プロファイル 25各ポリシー ポリシーごとに500
  • DecryptionProfile
  • CreateDecryptionProfile
  • UpdateDecryptionProfile
  • DeleteDecryptionProfile
  • GetDecryptionProfile
  • ListDecryptionProfiles
  • BulkUploadDecryptionProfiles

ポリシーのアップグレードの問題の回避

次の属性を持つファイアウォール・ポリシーによって問題が発生し、アップグレードを続行できません:

  • ファイアウォールポリシーに24文字を超える名前を持つアプリケーションリストが含まれている場合。この問題を回避するには、アプリケーションリストの名前を24文字以下に変更することを検討してください。
  • ファイアウォール・ポリシーに、リスト・アプリケーション、URL、ソースまたは宛先のいずれかが25を超える要素を含むセキュリティ・ルールが含まれている場合。この問題を回避するために、セキュリティ・ルールをそれぞれ25個未満の要素を持つ複数のルールに分割することを検討してください。
  • ファイアウォール・ポリシーに、リスト・ソースまたは宛先のいずれかが25を超える要素を含む復号化ルールが含まれている場合。この問題を回避するために、復号化ルールをそれぞれ25個未満の要素を持つ複数のルールに分割することを検討してください。

ファイアウォール・ポリシーがファイアウォールにアタッチされている場合は、ポリシーのクローニングを検討し、提案された変更を行い、アップグレード前に新しいクローン・ポリシーを使用するようにファイアウォールを変更することを検討してください。ポリシーをクローニングするには、「ポリシーのクローニング」を参照してください。ファイアウォールを変更するには、Change a Firewallを参照してください。

ファイアウォール・ポリシーのアップグレード

作成するすべての新しいファイアウォールおよびポリシーでは、サービスの新しいバージョンが自動的に使用されます。新しいバージョンがリリースされる前に存在していたファイアウォールとポリシーは、アップグレードするまで古いバージョンのサービスを引き続き使用します。以前のバージョンを使用する各ポリシーには、「ポリシー・リスト」ページの横に表記があるため、古いバージョンまたは新しいバージョンを使用しているポリシーを確認できます。

アップグレード・プロセスの完了には数分かかりますが、ポリシーを使用するファイアウォールのトラフィックには影響しません
重要

  • アップグレード・プロセス中は、ポリシーまたはそのコンポーネントを変更できません。
  • 新しいバージョンを使用するようにポリシーをアップグレードした後は、古いバージョンにダウングレードすることはできません。
  • ポリシーをアップグレードすると、関連付けられたファイアウォールも自動的にアップグレードされます。アップグレードが完了すると、アタッチされているファイアウォールは古いバージョンのポリシーを使用できなくなります。
  • ファイアウォールのアップグレード後は、古いバージョンにダウングレードすることはできません。ファイアウォールは、アタッチされたポリシーがアップグレードされたとき、または古いポリシーからアップグレードされたポリシーに切り替えられたときにアップグレードされます。

コンソールの使用

  1. ナビゲーション・メニューで、「アイデンティティとセキュリティ」を選択します。「ファイアウォール」に移動し、「ネットワーク・ファイアウォール・ポリシー」を選択します。
  2. アップグレードの準備ができている表記を示すポリシーをリストから見つけます。
  3. ポリシーを選択します。
  4. 「ポリシーのアップグレードによる新機能の使用」情報メッセージで、「ポリシーのアップグレード」を選択します。
    アップグレードが完了すると、新しい機能の使用を開始できることを示すメッセージがポリシー詳細ページに表示されます。ポリシーにアタッチされたファイアウォールもアップグレードされ、アップグレードされたポリシーにのみアタッチできます。