Oracle Cloud Infrastructure - Dokumentation

Sicherheitsliste erstellen

Erstellen Sie eine Sicherheitsliste in einem virtuellen Cloud-Netzwerk (VCN).

Eine Sicherheitsliste ist eine virtuelle Firewall zur Kontrolle des Datenverkehrs auf Paketebene. Wichtige Informationen zur Funktionsweise von Sicherheitslisten finden Sie unter Sicherheitslisten.

Eine Sicherheitsliste verwendet Sicherheitsregeln. Wichtige Informationen zur Funktionsweise von Sicherheitsregeln und einen allgemeinen Vergleich von Sicherheitslisten und Netzwerksicherheitsgruppen (eine optionale virtuelle Firewall) finden Sie unter Sicherheitsregeln.

Wenn Sie ein Subnetz erstellen, müssen Sie diesem mindestens eine Sicherheitsliste zuordnen. Dabei kann es sich entweder um die Standardsicherheitsliste des VCN oder um eine andere Sicherheitsliste handeln, die Sie bereits erstellt haben (die Höchstanzahl finden Sie unter Servicelimits). Sie können die vom Subnetz verwendeten Sicherheitslisten jederzeit ändern.

Sie können der Sicherheitsliste bei der Erstellung optional einen benutzerfreundlichen Namen zuweisen. Er muss nicht eindeutig sein und kann später geändert werden. Oracle weist der Sicherheitsliste automatisch eine eindeutige ID zu, die sogenannte Oracle Cloud-ID (OCID). Weitere Informationen finden Sie unter Ressourcen-IDs.

    1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking, Virtuelle Cloud-Netzwerke.
    2. Klicken Sie auf den Namen des gewünschten VCN.
    3. Klicken Sie unter Ressourcen auf Sicherheitslisten.
    4. Klicken Sie auf Sicherheitsliste erstellen.
    5. Geben Sie folgende Informationen ein:
      • Name: Ein aussagekräftiger Name für die Sicherheitsliste. Der Name muss nicht eindeutig sein und kann später in der Konsole geändert werden (Sie können ihn jedoch mit der API ändern). Geben Sie keine vertraulichen Informationen ein.
      • In Compartment erstellen: Das Compartment, in dem Sie die Sicherheitsliste erstellen möchten, sofern es sich von dem Compartment unterscheidet, in dem Sie derzeit arbeiten.
    6. Fügen Sie eine Ingress- oder Egress-Regel hinzu (Beispiele für Regeln finden Sie unter Netzwerkszenarios):
      • Klicken Sie entweder auf + Weitere Ingress-Regel oder auf + Weitere Egress-Regel.
      • Wählen Sie aus, ob die Regel zustandsbehaftet oder zustandslos ist (siehe Zustandsbehaftete und zustandslose Regeln). Standardmäßig sind Regeln für zustandsbehafteten Traffic vorgesehen, es sei denn, Sie geben etwas anderes an.

      • Geben Sie entweder das Quell-CIDR (für Ingress) oder das Ziel-CIDR (für Egress) ein. Beispiel: Verwenden Sie 0.0.0.0/0, um alle IP-Adressen anzugeben. Andere typische CIDRs, die Sie in einer Regel angeben können, sind CIDR-Blöcke für Ihr On-Premise-Netzwerk oder für ein bestimmtes Subnetz. Wenn Sie eine Sicherheitslistenregel so einrichten, dass Traffic mit einem Servicegateway  zugelassen wird, lesen Sie stattdessen Aufgabe 3 (optional): Sicherheitsregeln aktualisieren.

      • Wählen Sie das IP-Protokoll (Beispiel: TCP, UDP oder ICMP) oder Alle Protokolle aus.

      • Geben Sie je nach Protokoll weitere Details ein:

        • Wenn Sie TCP oder UDP wählen, geben Sie einen Quell- und Zielportbereich ein. Sie können Alle eingeben, um alle Ports abzudecken. Wenn Sie einen bestimmten Port zulassen möchten, geben Sie die Portnummer (Beispiel: 22 für SSH oder 3389 für RDP) oder einen Portbereich ein (Beispiel: 20-22).
        • Wenn Sie ICMP wählen, können Sie Alle eingeben, um alle Typen und Codes abzudecken. Wenn Sie einen bestimmten ICMP-Typ zulassen möchten, geben Sie den Typ und optional einen Code durch Komma getrennt ein (Beispiel: 3,4). Wenn der Typ mehrere Codes hat, die Sie zulassen möchten, erstellen Sie eine separate Regel für jeden Code.
      • Geben Sie eine optionale Beschreibung der Regel ein, um die Verwaltung Ihrer Sicherheitslistenregeln zu erleichtern.
    7. Wiederholen Sie den vorherigen Schritt für jede Regel, die Sie der Liste hinzufügen möchten.
    8. Klicken Sie optional auf Taggingoptionen anzeigen, und weisen Sie der Sicherheitsliste Tags zu. Wenn Sie über Berechtigungen zum Erstellen einer Ressource verfügen, sind Sie auch berechtigt, Freiformtags auf diese Ressource anzuwenden. Um ein definiertes Tag anzuwenden, benötigen Sie die Berechtigungen zum Verwenden des Tag-Namespace. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Sie Tags anwenden sollen, überspringen Sie diese Option, oder fragen Sie einen Administrator. Sie können Tags später anwenden.
    9. Wenn Sie fertig sind, klicken Sie auf Sicherheitsliste erstellen.

    Die Sicherheitsliste wird erstellt und dann auf der Seite Sicherheitslisten im ausgewählten Compartment angezeigt. Sie können diese Sicherheitsliste nun beim Erstellen oder Aktualisieren eines Subnetzes angeben.

    Wenn Sie alle Regeln in einer Sicherheitsliste anzeigen, werden alle Regeln für zustandslosen Traffic in der Liste oberhalb aller Regeln für zustandsbehafteten Traffic angezeigt. Regeln für zustandslosen Traffic in der Liste sind gegenüber Regeln für zustandsbehafteten Traffic vorrangig. Mit anderen Worten: Wenn Traffic mit einer Regel für den Status "Zustandslos" und einer Regel für den Status "Zustandslos" in allen mit dem Subnetz verknüpften Sicherheitslisten übereinstimmt, hat die Regel für den Status "Zustandslos" Priorität, und die Verbindung wird nicht verfolgt.

  • Verwenden Sie den Befehl network security-list create und die erforderlichen Parameter, um eine Sicherheitsliste zu erstellen:

    oci network security-list create --compartment-id compartment-ocid --vcn-id vcn-ocid [--egress-security-rules | --ingress-security-rules] rules... [OPTIONS]

    Eine vollständige Liste der Flags und Variablenoptionen für CLI-Befehle finden Sie in der CLI-Befehlsreferenz.

  • Führen Sie den Vorgang CreateSecurityList aus, um eine Sicherheitsliste zu erstellen.