Oracle Cloud Infrastructure-Dokumentation

Firewall erstellen

Verwenden Sie den Netzwerkfirewallservice, um eine Firewall zu erstellen.

Wichtig

  • Um die Performance zu verbessern, fügen Sie der Sicherheitsliste, die an das Firewallsubnetz angehängt ist, keine Regeln für den Status "Zustandsbehaftet" hinzu, oder fügen Sie die Firewall nicht in eine Netzwerksicherheitsgruppe (NSG) ein, die Regeln für den Status "Zustandsbehaftet" enthält.
  • Sicherheitsliste oder NSG-Regeln, die mit dem Firewall-Subnetz und VNICs verknüpft sind, werden vor der Firewall ausgewertet. Stellen Sie sicher, dass die Sicherheitsliste oder NSG-Regeln den Traffic in die Firewall zulassen, damit er ordnungsgemäß ausgewertet werden kann.
  • Wenn für die Policy, die Sie mit der Firewall verwenden, keine Regeln angegeben sind, verweigert die Firewall den gesamten Traffic.
Hinweis

Um NAT in Firewalls zu aktivieren, stellen Sie sicher, dass mindestens vier Ersatz-IPs im Firewallsubnetz für eine 4-Gbit/s-Firewall und mindestens fünf Ersatz-IPs für eine 25-Gbit/s-Firewall verfügbar sind.
    1. Wählen Sie im Navigationsmenü Identität und Sicherheit aus. Gehen Sie zu Firewalls, und wählen Sie Network Firewalls aus.
    2. Wählen Sie Netzwerkfirewall erstellen aus.
    3. Geben Sie einen Namen in das Feld Name ein.
    4. Wählen Sie im Feld Erstellen in Compartment ein Compartment aus, in das die Firewall erstellt werden soll.
    5. Wählen Sie in der Liste Netzwerkfirewall-Policy eine Firewall-Policy aus, die mit dieser Firewall verknüpft werden soll. Wenn keine Policys angezeigt werden, prüfen Sie das Compartment.
      Hinweis

      Wenn Sie diese Firewall mit einer neuen oder aktualisierten Policy verknüpfen, verwendet die Firewall nur die neue oder aktualisierte Policy. Sie können diese Firewall später nicht mit einer alten, nicht aktualisierten Policy verknüpfen.

    6. Wählen Sie in der Liste Virtuelles Cloud-Netzwerk ein VCN aus.
    7. Wählen Sie in der Liste Subnetz ein Subnetz aus. Sie können öffentliche oder private reguläre oder regionale Subnetze auswählen.
    8. Um den Traffic zur und von der Firewall mit einer Netzwerksicherheitsgruppe (NSG) zu steuern, aktivieren Sie das Kontrollkästchen Netzwerksicherheitsgruppen zur Kontrolle des Traffics verwenden. Um weitere NSGs hinzuzufügen, wählen Sie +Add weitere Netzwerksicherheitsgruppe aus.
    9. Um eine IPv4-Adresse, eine IPv6-Adresse oder beides einzugeben, aktivieren Sie das Kontrollkästchen Ich möchte die IP-Adresse manuell vom Subnetz zur Firewall zuweisen. Wenn Sie diese Option nicht auswählen, wird die IP-Adresse automatisch zugewiesen.
    10. Beachten Sie den Schalter NAT auf Firewall aktivieren. Wenn die zuvor ausgewählte Netzwerkfirewall-Policy NAT-Regeln enthält, wird diese Option automatisch für Sie aktiviert. Um NAT auf dieser Firewall zu deaktivieren, müssen Sie entweder die NAT-Regeln aus der Richtlinie entfernen oder eine andere Richtlinie auswählen.
      Weitere Informationen zu NAT-Regeln finden Sie unter Informationen zu NAT-Regeln und NAT-Regel zu einer Firewall-Policy hinzufügen. Informationen zum Löschen einer NAT-Regel aus einer Firewall-Policy finden Sie unter Regeln aus Firewall-Policys löschen.
    11. (Optional) Wählen Sie Erweiterte Optionen anzeigen, und geben Sie die folgenden Werte an:

      • Wählen Sie auf der Registerkarte Firewallgeltungsbereich die Option In einer einzelnen Availability-Domain in der Region bereitstellen aus, um die Firewall in einer bestimmten Availability-Domain bereitzustellen.

        Regionale Firewalls werden in allen Availability-Domains in einer Region bereitgestellt. Availability-Domain-spezifische Firewalls werden in einer bestimmten AD bereitgestellt. Weitere Informationen zu Availability-Domains finden Sie unter Regionen und Availability-Domains.
        Wichtig

        Eine Firewall, die in einer einzelnen Availability-Domain bereitgestellt ist, kann später nicht in regional geändert werden.
      • Um Tags für die Firewall zu erstellen, gehen Sie zur Registerkarte Tagging.
    12. Wählen Sie Netzwerkfirewall erstellen aus.

      Eine Arbeitsanforderung wird erstellt, um eine Firewallressource für den Cloud-Account bereitzustellen. Um die Arbeitsanforderung anzuzeigen, wählen Sie unter Ressourcen die Option Arbeitsanforderungen aus. Sie können prüfen, ob die Firewall erstellt wurde, wenn sie als Aktiv angezeigt wird.

  • Verwenden Sie den Befehl network-firewall network-firewall create und die erforderlichen Parameter, um eine Firewall zu erstellen.
    oci network-firewall network-firewall create --compartment-id compartment_id
 --subnet-id subnet_id --network-firewall-policy-id network_firewall_policy_id[OPTIONS]

    Eine vollständige Liste der Kennzeichen und Variablenoptionen für CLI-Befehle finden Sie in der Befehlszeilenreferenz.

  • Verwenden Sie den Vorgang CreateNetworkFirewall, um eine Firewall zu erstellen.