Documentación de Oracle Cloud Infrastructure

Creación de una lista de seguridad

En Compute Cloud@Customer, puede crear una lista de seguridad para una VCN.

Antes de crear una lista de seguridad, consulte las reglas de seguridad que ya están definidas en la lista de seguridad por defecto y cualquier otra lista de seguridad para esta VCN. Consulte Visualización de listas de seguridad.

Una lista de seguridad debe tener al menos una regla. No es necesario que una lista de seguridad tenga reglas de entrada y salida.

Evite introducir información confidencial en nombres y etiquetas.

    1. En el menú de navegación de la consola de Compute Cloud@Customer, seleccione Red y, a continuación, seleccione Redes virtuales en la nube.

    2. En la parte superior de la página, seleccione el compartimento que contiene la VCN en la que desea crear una subred.

    3. Seleccione el nombre de la VCN para la que desea crear una lista de seguridad.

      Se muestra la página de detalles de VCN.

    4. En Recursos, seleccione Listas de seguridad.

    5. Seleccione Crear Lista de Seguridad.

    6. En el cuadro de diálogo Crear lista de seguridad, introduzca la siguiente información:

      • Nombre: proporcione un nombre descriptivo de la lista de seguridad. El nombre no tiene que ser único. Evite introducir información confidencial. (No se puede cambiar el nombre más adelante en la consola, pero se puede cambiar con la CLI).

      • Crear en compartimento: seleccione el compartimento en el que desea crear la lista de seguridad.

    7. Agregue al menos una regla.

      Para agregar una o más reglas de entrada, seleccione Regla +New en el cuadro Permitir reglas para entrada. Introduzca la siguiente información:

      • Sin estado: si desea que la nueva regla no tenga estado, active esta casilla. Por defecto, las reglas de la lista de seguridad tienen estado y se aplican tanto a una solicitud como a su respuesta coordinada.

      • CIDR: bloque CIDR para el tráfico de entrada o salida.

      • Protocolo IP: la regla se puede aplicar a todos los protocolos IP o a opciones como ICMP, TCP o UDP. Seleccione el protocolo de la lista desplegable.

        • Rango de puertos: para algunos protocolos, como TCP o UDP, puede proporcionar un rango de puertos de origen y un rango de puertos de destino.

        • Tipo y código de parámetro: para ICMP, puede seleccionar un tipo de parámetro y el código de parámetro correspondiente.

      • Descripción: descripción opcional de la regla.

    8. Etiquetado: (opcional) agregue una o más etiquetas a este recurso. Las etiquetas también se pueden aplicar más adelante. Para obtener más información sobre el etiquetado de recursos, consulte Etiquetas de recursos.

    9. Seleccione Crear Lista de Seguridad.

      Se muestra la página de detalles de la nueva lista de seguridad. Puede especificar esta lista de seguridad al crear o actualizar una subred.

  • Utilice el comando oci network security-list create y los parámetros necesarios para crear una nueva lista de seguridad para la VCN especificada.

    oci network security-list create --compartment-id <compartment_OCID> --vcn-id <vcn_OCID> --ingress-security-rules <ingress_rules> --egress-security-rules <egress_rules> [OPTIONS]

    Para obtener una lista completa de los comandos, los indicadores y las opciones de la CLI, consulte la Referencia de la línea de comandos.

    Procedimiento

    1. Recopile la información necesaria para ejecutar el comando:

      • OCID del compartimento en el que desea crear esta lista de seguridad (oci iam compartment list)

      • OCID de la VCN para esta lista de seguridad (oci network vcn list --compartment-id compartment_OCID)

    2. Cree argumentos para las opciones --ingress-security-rules y --egress-security-rules.

      Las reglas de seguridad están en formato JSON. Para ver cómo formatear una regla, utilice el siguiente comando:

      oci network security-list create --generate-param-json-input ingress-security-rules > ingress.json

      Utilice el mismo comando con egress-security-rules.

      Las reglas de seguridad de entrada y salida son las mismas, excepto que las reglas de entrada tienen propiedades source y sourceType, mientras que las reglas de salida tienen propiedades destination y destinationType.

      El valor de la propiedad protocol es all o uno de los siguientes números: 1 para ICMP, 6 para TCP o 17 para UDP.

      O bien, puede list o get la lista de seguridad por defecto u otra lista de seguridad y copiar los valores de las propiedades egress-security-rules y ingress-security-rules.

      Coloque la información de las reglas para esta nueva lista de seguridad en los lugares adecuados en el formato o sustituya la información de las reglas que ha copiado.

      El valor de ambas opciones de reglas es una cadena entre comillas simples o un archivo especificado como file://path_to_file.json.

      Las reglas de entrada y salida deben estar en una lista. Si la lista de reglas de salida o la lista de reglas de entrada solo tiene un elemento, esa única regla se debe incluir entre corchetes como lo harían varias reglas. Consulte el comando del siguiente paso para ver un ejemplo que muestra solo una regla de entrada.

      Se deben especificar tanto las reglas de salida como las de entrada. Consulte el comando del siguiente paso para ver un ejemplo en el que no se muestran reglas de salida.

    3. Ejecute el comando de creación de la lista de seguridad.

      Sintaxis:

      Ejemplo:

      $ oci network security-list create --compartment-id ocid1.compartment.unique_ID \
--vcn-id ocid1.vcn.unique_ID --display-name "Limited Port Range" \
--egress-security-rules [] \
--ingress-security-rules '[{"source": "10.0.2.0/24", "protocol": "6", "isStateless": true, \
"tcpOptions": {"destinationPortRange": {"max": 1521, "min": 1521}, \
"sourcePortRange": {"max": 1521, "min": 1521}}}]'
{
  "data": {
    "compartment-id": "ocid1.compartment.unique_ID",
    "defined-tags": {},
    "display-name": "Limited Port Range",
    "egress-security-rules": [],
    "freeform-tags": {},
    "id": "ocid1.securitylist.unique_ID",
    "ingress-security-rules": [
      {
        "description": null,
        "icmp-options": null,
        "is-stateless": true,
        "protocol": "6",
        "source": "10.0.2.0/24",
        "source-type": "CIDR_BLOCK",
        "tcp-options": {
          "destination-port-range": {
            "max": 1521,
            "min": 1521
          },
          "source-port-range": {
            "max": 1521,
            "min": 1521
          }
        },
        "udp-options": null
      }
    ],
    "lifecycle-state": "PROVISIONING",
    "time-created": "unique_ID",
    "vcn-id": "ocid1.vcn.unique_ID"
  },
  "etag": "unique_ID"
}

  • Utilice la operación CreateSecurityList para crear una nueva lista de seguridad para la VCN especificada.

    Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Software development kits e interfaz de línea de comandos.