Oracle Cloud Infrastructureドキュメント

ファイアウォール・ポリシー・リストの作成

リストは、ルールで使用するアプリケーション、サービス、URLまたはアドレスをグループ化できる構成要素です。

リスト内のすべての項目は、ルールで使用される場合、同じように扱われます。たとえば、既知の悪意のあるURLへのアクセスを拒否するルールを作成するには、「悪意のあるURL」というURLリストを作成します。次に、グループとしてリスト全体へのアクセスを拒否するルールを作成できます。

ルールに項目を含めるには、まずリストに追加する必要があります。リストは、ルールで参照できます。単一の項目を含むリストを作成できます。

アプリケーション・リストについて

アプリケーションおよびアプリケーション・リストを作成して、アプリケーションのグループへのトラフィックを許可または拒否します。

アプリケーションは、使用するプロトコルに基づいて署名によって定義されます。レイヤー7検査は、一致するアプリケーションを識別するために使用されます。

アプリケーションを定義するには、次のパラメータを使用します。

  • 名前:アプリケーションに定義する一意の名前
  • プロトコル: ICMPまたはICMPv6
  • ICMPまたはICMPv6タイプ:たとえば、0- エコーの応答、3- 宛先に到達できません、5- リダイレクト、8- エコーのようになります
  • ICMPまたはICMPv6コード:たとえば、0- ネットに到達できません、1- ホストに到達できません、2- プロトコルに到達できません、3- ポートに到達できません

ICMPタイプおよびコードの詳細は、Internet Control Message Protocol (ICMP) Parametersを参照してください。

制限:
  • 各ポリシーのアプリケーション・リストの最大数: 2,500
  • 1つのリスト内のアプリケーションの最大数: 200
  • ポリシーのアプリケーションの最大合計数: 6,000

アプリケーションを作成したら、それらをポリシーのアプリケーション・リストに追加できます。あるポリシーから別のポリシーのリストにアプリケーションを追加することはできません。アプリケーションは、それを使用する各ポリシー内に作成する必要があります。

アプリケーション・リストを作成するには、アプリケーション・リストの作成を参照してください。

サービス・リストについて

サービスおよびサービス・リストを作成して、サービス・グループへのトラフィックを許可または拒否します。サービスは、使用するポートに基づいて署名によって識別されます。レイヤー4検査は、一致するサービスを識別するために使用されます。

次のパラメータは、サービスの定義に使用されます。
  • 名前:サービスに定義する一意の名前。
  • プロトコル: TCPまたはUDP。
  • ポート範囲:ポート番号または範囲(たとえば、"1433"、"80-8080"、"22-22")。各サービスには、最大10個のポート範囲を含めることができます。
制限:
  • 各ポリシーのサービス・リストの最大数: 2,000
  • 1つのリスト内のサービスの最大数: 200
  • ポリシーの最大合計サービス数: 1,900

サービスを作成した後、それらをポリシーのサービス・リストに追加できます。あるポリシーから別のポリシーのリストにサービスを追加することはできません。サービスは、それを使用する各ポリシー内に作成する必要があります。

サービス・リストを作成するには、サービス・リストの作成を参照してください。

URLリストについて

URLリストを作成して、URLのグループへのトラフィックを許可または拒否します。ポリシーには最大1,000個のURLリストを作成できます。各リストには最大1,000個のURLを含めることができます。各URLは、リスト内の個別の行に入力されます。URLでアスタリスク(*)やカレット(^)などのワイルドカードを使用して、一致をカスタマイズできます。http://やhttps://などのプロトコル情報を入力しないでください。

  • アスタリスク(*)ワイルドカードは、1つ以上の変数サブドメインを示します。このエントリは、URLの開始または終了にある他のサブドメインと一致します。たとえば、次のとおりです。

    *.example.comは、www.example.com、www.docs.example.comおよびwww.example.com.ua.に一致します

    *.example.com/はwww.example.comおよびwww.docs.example.comに一致しますが、www.example.com.ua.には一致しません

  • キャレット(^)ワイルドカードは、1つの変数サブドメインを示します。たとえば、mail.^.comはmail.example.comに一致しますが、mail.example.sso.comには一致しません。

「URLフィルタリング・プロファイルでのワイルドカードの使用例」も参照してください。

URLリストの例を次に示します: 
www.example.com
production1.example.com
production2.example.com
www.example.net
www.example.biz
[1080:0:0:0:8:800:200C:417A]:8080/index.html
1080:0:0:0:8:800:200C:417A/index.html
*.example.com
制限:
  • 各ポリシーのURLリストの最大数: 1,000
  • 1つのリスト内のURLの最大数: 1,000
  • ポリシーのURLの最大合計数: 25,000

URLリストを作成するには、URLリストの作成を参照してください。

アドレス・リストについて

アクセスを許可または拒否する住所のリストを作成します。個々のIPv4またはIPv6 IPアドレスを指定することも、IPアドレス・リストでCIDRブロックを使用することもできます。各アドレスは、リスト内の個別の行に入力されます。

ノート

FQDNアドレスは、特定のユースケースにのみ使用できます。住所リストにFQDN住所を使用するには、サービス・リクエストを作成します

次に、IPアドレス・リストの例を示します。

10.0.0.0/16
10.1.0.0/24
10.2.0.0/24
10.3.0.0/24
10.4.0.0/24
10.5.0.0/24
2001:DB8::/32
2603:c020:0:6a00::/56
2603:c020:0:6aa1::/64

次に、FQDNアドレス・リストの例を示します。

mymail.example1.edu
server.example.org
myhost.mydomain.net
database1.privatesubnet1.abccorpvcn1.oraclevcn.com
subneta.vcn1.oraclevcn.com
制限:
  • 各ポリシーのアドレス・リストの最大数: 20,000のIPアドレス・リスト、2,000のFQDNリスト
  • 1つのリスト内のアドレスの最大数: 1,000

アドレスリストを作成するには、Create an Address Listを参照してください。

一括インポートリストについて

JSONファイルを使用して、アドレス・リスト、URLリスト、サービスおよびサービス・リスト、アプリケーションおよびアプリケーション・リストを一括インポートできます。

リストを一括インポートするには、ファイアウォール・ポリシー・コンポーネントのインポートを参照してください。