Oracle Cloud Infrastructureドキュメント

ファイアウォール・ポリシーの作成および管理

ファイアウォール・ポリシーを作成して、ファイアウォールがネットワーク・トラフィックを検査、許可または拒否する方法を制御するために作成するファイアウォール・ポリシー・ルールを格納します。

ファイアウォールを作成する前にファイアウォール・ポリシーを作成します。すべてのファイアウォールには、少なくとも1つのファイアウォール・ポリシーが関連付けられている必要があります。

ファイアウォール・ポリシーを作成すると、通常のネットワーク・ファイアウォール・サービスの制限および制限が適用されます。

ファイアウォール・ポリシー・ルール・コンポーネントについて

ファイアウォール・ポリシーを作成したら、ファイアウォール・ポリシー・ルールの作成準備を開始します。ファイアウォール・ポリシー・ルール・コンポーネントを使用すると、ファイアウォール・ポリシー・ルールで使用するアプリケーション、サービス、URLまたはアドレスをグループ化するリストを作成できます。リスト内のすべての項目は、ルールで使用される場合、同じように扱われます。リストは、ルールで参照できます。

ルール・コンポーネントには、復号化プロファイルを含めることもできます。マップされたシークレットを含む復号化プロファイルを作成して、SSL転送プロキシとSSLインバウンド検証でセッション・モードのチェック、サーバーのチェックおよび失敗のチェックがどのように実行されるかを制御します。

ファイアウォール・ポリシー・ルールについて

ファイアウォール・ポリシー・ルールは、ファイアウォールとのネットワーク・トラフィックを許可または拒否するファイアウォール・ポリシーに対して定義する一連の基準です。次のタイプのファイアウォール・ポリシー・ルールを作成できます。

  • トラフィックを復号化する復号化ルール
  • トラフィックを許可またはブロックするセキュリティ・ルール
  • トラフィックを検査するトンネル検査ルール

ファイアウォール・ポリシーを作成し、ファイアウォール・ポリシー・ルールを定義しない場合、すべてのネットワーク・トラフィックが拒否されます。

ルールは、次の特定の基準を使用してネットワーク・パケットに適用されます:
  • 暗号化ルールは、常にセキュリティ・ルールのに適用されます。
  • 暗号化ルールおよびセキュリティ・ルールは、ユーザーが定義できる優先順位を使用して適用されます。
ポリシーをファイアウォールに関連付けると、ファイアウォールはポリシー内のルールに基づいてトラフィックの許可または拒否を次のように開始します:
  1. ファイアウォールによって、復号化ルールが優先度リストの順序で評価されます。
  2. 復号化ルールがパケット情報に一致すると、指定したルール・アクションがファイアウォールによって適用されます。
  3. ルール・アクションが適用されると、ファイアウォールではそれ以上の復号化ルールは評価されません。
  4. パケット情報が復号化ルールに一致しない場合、ファイアウォールはパケットを復号化しません。
  5. ファイアウォールによって、セキュリティ・ルールが優先度リストの順序で評価されます。
  6. セキュリティ・ルールがパケット情報に一致すると、指定したルール・アクションがファイアウォールによって適用されます。
  7. ルール・アクションが適用されると、ファイアウォールではそれ以上のセキュリティ・ルールは評価されません。
  8. パケット情報がセキュリティ・ルールに一致しない場合、ファイアウォールはパケットを削除します。

ルールはオプションですが、ファイアウォールで使用するポリシーに少なくとも1つのルールが指定されていない場合、ファイアウォールはすべてのネットワーク・トラフィックを拒否します。

デフォルトでは、新規に作成する各ルールが優先順位リストの最初のルールになります。優先順位はいつでも変更できます。

復号化ルールについて

復号化ルールは、指定されたソース、宛先、またはその両方からのトラフィックを復号化します。トラフィックの指定されたソースと宛先の一致条件は、ルールを構築する前にポリシーで構成するアドレス・リストで構成されます。

指定されたソースと宛先の照合条件が一致すると、ファイアウォールはルール・アクションを実行します。次の操作を選択できます。

  • SSL転送プロキシを含むトラフィックを復号化
  • SSLインバウンド検証を含むトラフィックを復号化
  • トラフィックを復号化しないでください。

復号化を選択した場合、トラフィックを復号化する際に適用する復号化プロファイルおよびマップされたシークレットを選択します。ルールを構築する前に、ポリシーで復号化プロファイルおよびマップされたシークレットを構成します。デフォルトでは、復号化ルールの優先順位は作成順です。優先順位を変更できます。

制限:
  • 各ポリシーの復号化ルールの最大数: 1,000

復号化ルールのシークレットおよびプロファイル

ファイアウォール・ポリシーで、証明書認証を使用する復号化ルールを使用する場合は、マップされたシークレットおよび復号化プロファイルを設定する必要があります。

マップされたシークレットは、Vaultサービスで作成し、インバウンドまたはアウトバウンドSSLキーにマップするシークレットです。このシークレットは、SSL転送プロキシおよびSSLインバウンド検証を使用してSSL/TLSトラフィックを暗号化および検証するために使用されます。

SSL転送プロキシまたはSSLインバウンド検査を使用する場合は、ルールを使用してポリシーを構成する前に、ボールトおよびシークレットを設定します。ネットワーク・トラフィックの復号化および検査の設定を参照してください。

暗号化プロファイルは、SSL転送プロキシとSSLインバウンド検証でセッション・モードのチェック、サーバーのチェックおよび失敗のチェックがどのように実行されるかを制御します。

次のオプションは、SSL転送プロキシの復号化プロファイルで使用できます:
  • 期限切れ証明書をブロック:サーバーの証明書が期限切れの場合にセッションをブロックします。このオプションは、安全でない可能性のあるサイトへのアクセスを防止します。このオプションを選択しない場合、ユーザーは悪意のある可能性があるサイトに接続して処理でき、接続を試みると警告メッセージが表示されますが、接続は防止されません。
  • 信頼されていない発行者をブロック:サーバーの証明書が信頼されていない認証局(CA)によって発行されている場合、セッションをブロックします。信頼されていない発行者は、man-in-the-middle攻撃、リプレイ攻撃、またはその他の攻撃を示している可能性があります。
  • タイムアウトした証明書をブロック:証明書ステータス・チェックがタイムアウトした場合にセッションをブロックします。証明書ステータス・チェックでは、失効サーバーの証明書失効リスト(CRL)を使用するか、オンライン証明書ステータス・プロトコル(OCSP)を使用して、証明書を発行したCAがそれを取り消したかどうかを確認します。失効サーバーの応答が遅くなる場合があり、証明書が有効であってもセッションがタイムアウトする可能性があります。
  • サポートされていない暗号をブロック: SSLハンドシェイクで指定されたSSL暗号スイートがサポートされていない場合にセッションをブロックします。
  • サポートされていないバージョンをブロック: SSLハンドシェイクで指定されたSSLバージョンがサポートされていない場合、セッションをブロックします。
  • 不明な証明書をブロック:証明書のステータスが「不明」として返された場合、セッションをブロックします。証明書ステータスは多くの理由で不明となる可能性があるため、このオプションは、一般的なセキュリティではなく、ネットワークのセキュリティが強化された領域で使用してください。
  • 証明書の拡張を制限:拡張をキー用途と拡張キー用途に制限します。このオプションは、デプロイメントに他の証明書拡張が必要ない場合にのみ使用します。
  • 代替名を自動的に含める:サーバー証明書がない場合に、サブジェクト代替名(SAN)を偽装証明書に自動的に追加します。
  • リソースがない場合にブロック:使用可能な処理リソースが不足している場合にセッションをブロックします。このオプションを使用しない場合、暗号化されたトラフィックは暗号化されたままネットワークに入るため、危険な接続となる可能性があります。このオプションを使用すると、サイトが一時的にアクセス不能になることで、ユーザー・エクスペリエンスが影響を受ける可能性があります。
次のオプションは、SSLインバウンド検証の暗号化解除プロファイルで使用できます:
  • バージョンがサポートされていないセッションをブロック:弱いバージョンのSSLプロトコルを持つセッションをブロックします。
  • サポートされていない暗号をブロック: SSLハンドシェイクで指定されたSSL暗号スイートがサポートされていない場合にセッションをブロックします。
  • リソースがない場合にブロック:使用可能な処理リソースが不足している場合にセッションをブロックします。このオプションを使用しない場合、暗号化されたトラフィックは暗号化されたままネットワークに入るため、危険な接続となる可能性があります。このオプションを使用すると、サイトが一時的にアクセス不能になることで、ユーザー・エクスペリエンスが影響を受ける可能性があります。
制限:
  • 各ポリシーのマップされたシークレットの最大数: 300
  • 各ポリシーのSSLインバウンド・マップ済シークレットの最大数: 300
  • 各ポリシーのSSL転送プロキシ・マップ済シークレットの最大数: 1
  • 各ポリシーの復号化プロファイルの最大数: 500

マップされたシークレットを作成するには、マップされたシークレットの作成を参照してください。

復号化プロファイルを作成するには、暗号化プロファイルの作成を参照してください。

セキュリティ・ルールについて

ファイアウォールでは、セキュリティ・ルールを使用して、許可またはブロックされるネットワーク・トラフィックを決定します。各ルールには、ルールを適用するためにパケット情報が一致する必要がある一連の基準が含まれています。これは、ルール一致条件と呼ばれます。

ソースと宛先のアドレス、アプリケーション、サービスまたはURLに基づいて照合するようにセキュリティ・ルールを構成できます。トラフィックの指定されたソースと宛先の一致条件は、ルールを構築する前にポリシーで構成するリストで構成されます。

重要

セキュリティ・ルールに一致基準が定義されていない場合(ルールに空のリストが指定されている場合)、ルールはワイルドカード(任意の)基準に一致します。この動作は、ルールで調べられたすべてのトラフィックに適用されます。
ルール・アクションは、指定した条件と一致した場合にファイアウォールがパケットを処理する方法を定義します。ファイアウォールでは、次のアクションを実行できます:
  • トラフィックを許可: トラフィックの続行は許可されます。
  • トラフィックの削除:トラフィックはサイレントに削除され、リセットの通知は送信されません。
  • トラフィックを拒否:トラフィックは削除され、リセット通知が送信されます。
  • 侵入検出:トラフィックが記録されます。
  • 侵入防止:トラフィックがブロックされます。
    重要

    侵入検知および予防を使用するには、ロギングを有効にします。Logging Firewallアクティビティを参照してください。
制限:
  • 各ポリシーのセキュリティ・ルールの最大数: 10,000

トンネル検査ルールについて

トンネル検査ルールを使用して、仮想テスト・アクセス・ポイント・サービスを使用してOracleリソースにミラー化されたトラフィックを検査します。仮想テスト・アクセス・ポイント(VTAP)ソースで取得されたトラフィックは、VXLANにカプセル化され、VTAPターゲットに送信されます。

すべてのトラフィックをミラー化することも、取得フィルタを使用して関心のあるトラフィックのみをミラー化することもできます。

指定したソースと宛先の一致条件が満たされると、ファイアウォールはデフォルトのPalo Alto Networks®トンネル検査プロファイルを適用します。プロファイルには次の特性があり、編集できません。

  • プロトコル: VXLAN
  • 最大トンネル検査レベル: 1レベルのカプセル化が検査されます
  • スキャンしたVXLANトンネルをソースに戻します: True。カプセル化されたパケットを元のVXLANトンネルエンドポイント(VTEP)に返します。

トンネル検査ログは、ファイアウォールを通過するミラー化されたVXLANトラフィックに関する情報を提供します。

制限:
  • 各ポリシーの最大トンネル検査ルール数: 500

関連項目