Oracle Cloud Infrastructure - Dokumentation

Sicherheitsliste erstellen

Erstellen Sie eine Sicherheitsliste in einem virtuellen Cloud-Netzwerk (VCN).

Eine Sicherheitsliste ist eine virtuelle Firewall, mit der der Datenverkehr auf Paketebene gesteuert wird. Wichtige Informationen zur Funktionsweise von Sicherheitslisten finden Sie unter Sicherheitslisten.

Eine Sicherheitsliste verwendet Sicherheitsregeln. Wichtige Informationen zur Funktionsweise von Sicherheitsregeln und einen allgemeinen Vergleich von Sicherheitslisten und Netzwerksicherheitsgruppen (eine optionale virtuelle Firewall) finden Sie unter Sicherheitsregeln.

Wenn Sie ein Subnetz erstellen, müssen Sie diesem mindestens eine Sicherheitsliste zuordnen. Dabei kann es sich entweder um die Standardsicherheitsliste des VCN oder um eine andere Sicherheitsliste handeln, die Sie bereits erstellt haben (die maximale Anzahl finden Sie unter Servicelimits). Sie können die vom Subnetz verwendeten Sicherheitslisten jederzeit ändern.

Sie können der Sicherheitsliste bei der Erstellung optional ein benutzerfreundlicher Name zuweisen. Er muss nicht eindeutig sein und kann später geändert werden. Oracle weist der Sicherheitsliste automatisch eine eindeutige ID zu, die sogenannte Oracle Cloud-ID (OCID). Weitere Informationen finden Sie unter Ressourcen-IDs.

    1. Wählen Sie auf der Listenseite Virtuelle Cloud-Netzwerke das VCN aus, mit dem Sie arbeiten möchten. Wenn Sie Hilfe beim Suchen der Listenseite oder des VCN benötigen, finden Sie weitere Informationen unter VCNs auflisten.
    2. Führen Sie auf der Detailseite je nach der angezeigten Option eine der folgenden Aktionen aus:
      • Gehen Sie auf der Registerkarte Sicherheit zum Abschnitt Sicherheitslisten.
      • Wählen Sie unter Ressourcen die Option Sicherheitslisten aus.
    3. Wählen Sie Sicherheitsliste erstellen aus.
    4. Geben Sie einen benutzerfreundlichen Namen für die Sicherheitsliste ein. Er muss nicht eindeutig sein. Geben Sie dabei keine vertraulichen Informationen ein.
    5. Prüfen Sie das Compartment, in welchem Sie die Sicherheitsliste erstellen möchten. Wählen Sie bei Bedarf ein anderes Compartment aus.
    6. Sie können eine Ingress- oder Egress-Regel hinzufügen (Beispiele für Regeln finden Sie unter Netzwerkszenarios):
      • Wählen Sie entweder + Weitere Ingress-Regel oder + Weitere Egress-Regel aus.
      • Wählen Sie aus, ob die Regel zustandsbehaftet oder zustandslos ist (siehe Zustandsbehaftete Regeln im Vergleich zu zustandslosen Regeln). Standardmäßig sind Regeln für zustandsbehafteten Traffic vorgesehen, es sei denn, Sie geben etwas anderes an.

      • Geben Sie entweder das Quell-CIDR (für Ingress) oder das Ziel-CIDR (für Egress) ein. Beispiel: Verwenden Sie 0.0.0.0/0, um alle IP-Adressen anzugeben. Andere typische CIDRs, die Sie in einer Regel angeben können, sind der CIDR-Block für ein On-Premise-Netzwerk bzw. für ein bestimmtes Subnetz. Wenn Sie eine Sicherheitslistenregel so einrichten, dass Traffic mit einem Servicegateway  zugelassen wird, lesen Sie stattdessen Aufgabe 3 (optional): Sicherheitsregeln aktualisieren. Weitere Informationen zur CIDR-Notation finden Sie unter RFC1817 und RFC1519.

      • Wählen Sie das IP-Protokoll (z.B. TCP, UDP oder ICMP) oder Alle Protokolle aus.

      • Geben Sie je nach Protokoll weitere Details ein:

        • Wenn Sie TCP oder UDP wählen, geben Sie einen Quell- und Zielportbereich ein. Sie können Alle eingeben, um alle Ports abzudecken. Um einen bestimmten Port zuzulassen, geben Sie die Portnummer (Beispiel: 22 für SSH oder 3389 für RDP) oder einen Portbereich (Beispiel: 20-22) ein.
        • Wenn Sie ICMP ausgewählt haben, können Sie Alle eingeben, um alle Typen und Codes abzudecken. Um einen bestimmten ICMP-Typ zuzulassen, geben Sie den Typ und optional einen Code ein, der durch Komma getrennt ist (Beispiel: 3,4). Wenn der Typ über mehrere Codes verfügt, die Sie zulassen möchten, erstellen sie eine separate Regel für jeden Code.
      • Geben Sie eine optionale Beschreibung der Regel für die Verwaltung der Sicherheitslistenregeln ein.
    7. Um eine weitere Sicherheitsregel hinzuzufügen, wählen Sie + Weitere Regel aus, und geben Sie die Informationen der Regel an. Wiederholen Sie den Schritt für jede Regel, die Sie hinzufügen möchten.
    8. (Optional) Öffnen Sie den Abschnitt Tags, und weisen Sie der Sicherheitsliste Tags zu. Wenn Sie über Berechtigungen zum Erstellen von Ressourcen verfügt, sind Sie auch berechtigt: Freiformtags auf diese Ressource anwenden. Um ein definiertes Tag anzuwenden, benötigen Sie Die Berechtigungen zum Verwenden des Tag-Namespace. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Tags angewendet werden sollen, überspringen Sie diese Option, oder fragen Sie einen Administrator. Sie können Tags später anwenden.
    9. Wählen Sie anschließend Sicherheitsliste erstellen aus.

    Die Sicherheitsliste wird erstellt und dann auf der Seite Sicherheitslisten im ausgewählten Compartment angezeigt. Sie können diese Sicherheitsliste nun beim Erstellen oder Aktualisieren eines Subnetzes angeben.

    Wenn Sie alle Regeln in einer Sicherheitsliste anzeigen, werden zuerst alle Regeln für zustandslosen Datenverkehr in der Liste angezeigt. Anschließend werden alle Regeln mit zustandsbehaftetem Datenverkehr angezeigt. Regeln für zustandslosen Traffic in der Liste sind gegenüber Regeln für zustandsbehafteten Traffic vorrangig. Beispiel: Wenn Traffic sowohl mit einer Regel für zustandslosen als auch mit einer Regel für zustandsbehafteten Verkehr in allen mit dem Subnetz verknüpften Sicherheitslisten übereinstimmt, hat die Regel für zustandslosen Verkehr Vorrang, und die Verbindung wurde nicht verfolgt.

  • Verwenden Sie den Befehl network security-list create und die erforderlichen Parameter, um eine Sicherheitsliste zu erstellen:

    oci network security-list create --compartment-id compartment-ocid --vcn-id vcn-ocid [--egress-security-rules | --ingress-security-rules] rules... [OPTIONS]

    Eine vollständige Liste der Flags und Variablenoptionen für CLI-Befehle finden Sie in der CLI-Befehlsreferenz.

  • Führen Sie den Vorgang CreateSecurityList aus, um eine Sicherheitsliste zu erstellen.