Documentation sur Oracle Cloud Infrastructure

Création d'un groupe de sécurité de réseau

Créez un groupe de sécurité de réseau dans un réseau en nuage virtuel (VCN).

Chaque réseau VCN est accompagné d'une liste de sécurité par défaut qui dispose de règles de sécurité par défaut pour activer la connectivité de base. Cependant, un réseau VCN ne dispose d'aucun groupe NSG par défaut.

À la création, un NSG est initialement vide, sans règles de sécurité ni cartes vNIC. Si vous utilisez la console, vous pouvez ajouter des règles de sécurité au groupe NSG lors de la création. Se familiariser avec les éléments des règles de sécurité.

Vous pouvez éventuellement affecter un nom convivial au groupe NSG lors de la création. Il n'est pas nécessaire que le nom soit unique; vous pouvez le modifier plus tard. Oracle affecte automatiquement un identificateur unique appelé ID Oracle Cloud (OCID) au groupe NSG. Pour plus d'informations, voir Identificateurs de ressource.

Aux fins de contrôle d'accès, vous devez spécifier le compartiment dans lequel doit résider le groupe NSG. En cas de doute sur le compartiment à utiliser, consultez un administrateur de votre organisation. Pour plus d'informations, voir Contrôle de l'accès.

    1. Dans la page de liste Réseaux en nuage virtuels, sélectionnez le réseau VCN avec lequel vous voulez travailler. Si vous avez besoin d'aide pour trouver la page de liste ou le VCN, voir Liste des réseaux en nuage virtuels.
    2. Dans la page de détails, effectuez l'une des actions suivantes en fonction de l'option affichée :
      • Dans l'onglet Sécurité, allez à la section Groupes de sécurité de réseau.
      • Sous Ressources, sélectionnez Groupes de sécurité de réseau.
    3. Sélectionnez Créer un groupe de sécurité de réseau.
    4. Entrez un nom convivial pour le groupe de sécurité de réseau. Il ne doit pas nécessairement être unique. Évitez d'entrer des informations confidentielles.
    5. Vérifiez le compartiment dans lequel vous voulez créer le groupe de sécurité de réseau. Sélectionnez un autre compartiment si nécessaire.
    6. (Facultatif) Dans la section Marqueurs, ajoutez un ou plusieurs marqueurs. Si vous êtes autorisé à créer une ressource, vous disposez également des autorisations nécessaires pour appliquer des marqueurs à structure libre à cette ressource. Pour appliquer un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Pour plus d'informations sur le marquage, voir Marqueurs de ressource. Si vous ne savez pas si vous devez appliquer des marqueurs, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des marqueurs plus tard.
    7. (Facultatif) Pour créer le groupe de sécurité de réseau sans règle pour le moment, sélectionnez Créer et vous avez terminé.
    8. Dans la section Règle, entrez les informations suivantes pour une première règle de sécurité (pour des exemples de règles, voir Scénarios d'utilisation du service de réseau) :
      • Sélectionnez Sans état ou Avec état. Si une règle a un état, le suivi de connexion est utilisé pour le trafic correspondant à la règle. Si une règle est sans état, aucun suivi de connexion n'est utilisé. Par défaut, les règles sont avec état, sauf indication contraire. Voir Comparaison de l'état aux règles sans état.
      • Sélectionnez une direction (entrant ou sortant) : Entrant est le trafic vers la carte VNIC, et sortant est le trafic sortant de la carte VNIC.

      • Sélectionnez un type de source et une source (pour les règles de trafic entrant uniquement) : Voici les types de source autorisés et les valeurs de source que vous pouvez spécifier pour ces types :

        • CIDR : Bloc CIDR d'origine du trafic. Utilisez 0.0.0.0/0 pour indiquer toutes les adresses IP. Le préfixe est obligatoire (par exemple, incluez le /32 si vous spécifiez une adresse IP individuelle. Pour plus d'informations sur la notation CIDR, voir RFC1817 et RFC1519.
        • Service : Uniquement pour les paquets provenant d'un service Oracle au moyen d'une passerelle de service. Le service source est l'étiquette CIDR du service qui vous intéresse.
        • Groupe de sécurité de réseau : Groupe de sécurité de réseau du même VCN que le groupe de cette règle.

      • Sélectionnez un type de destination et une destination (pour les règles de trafic sortant uniquement) : Voici les types de destination autorisés et les valeurs de destination que vous pouvez spécifier pour eux :

        • CIDR : Bloc CIDR vers lequel le trafic est dirigé. Utilisez 0.0.0.0/0 pour indiquer toutes les adresses IP. Le préfixe est obligatoire (par exemple, incluez le /32 si vous spécifiez une adresse IP individuelle. Pour plus d'informations sur la notation CIDR, voir RFC1817 et RFC1519.
        • Service : Uniquement pour les paquets se dirigeant vers un service Oracle au moyen d'une passerelle de service. Le service de destination est l'étiquette CIDR du service qui vous intéresse.
        • Groupe de sécurité de réseau : Groupe de sécurité de réseau du même VCN que le groupe de cette règle.
      • Sélectionnez un protocole IP soit un IPv4 protocole unique (par exemple, TCP ou ICMP), soit "all" pour couvrir tous les protocoles.
      • Sélectionnez un intervalle de ports sources : Port d'où provient le trafic. Pour TCP ou UDP, vous pouvez spécifier tous les ports sources, un numéro de port source unique ou un intervalle.
      • Sélectionnez un intervalle de ports de destination : Port vers lequel le trafic va. Pour TCP ou UDP, vous pouvez spécifier tous les ports de destination, un numéro de port de destination unique ou un intervalle.
      • Sélectionnez un type et code ICMP : Pour ICMP, vous pouvez spécifier tous les types et codes, ou un seul type ICMP avec un code facultatif. Si le type comporte plusieurs codes, créez une règle distincte pour chaque code que vous souhaitez autoriser.
      • Entrez une description : Entrez une description facultative de la règle.
    9. Pour ajouter une autre règle de sécurité, sélectionnez + Une autre règle et entrez les informations la concernant. Répétez l'opération pour chaque règle à ajouter.
    10. Lorsque vous avez terminé, sélectionnez Créer.

    Le groupe NSG est créé, puis affiché dans la liste Groupe de sécurité de réseau du compartiment sélectionné. Vous pouvez maintenant spécifier ce groupe NSG lors de la création ou de la gestion d'instances ou d'autres types de ressources parents.

    Lorsque vous consultez toutes les règles de sécurité d'un groupe NSG, vous pouvez filtrer la liste par trafic entrant ou sortant.

  • Pour créer un groupe de sécurité de réseau dans un réseau VCN, utilisez la commande NSG create et les paramètres requis :

    oci network nsg create --compartment-id nsg-compartment-ocid --vcn-id vcn-ocid ... [OPTIONS]

    Pour la liste complète des indicateurs et des options de variable pour les commandes de l'interface de ligne de commande, voir Informations de référence sur les commandes de l'interface de ligne de commande.

  • Exécutez l'opération CreateNetworkSecurityGroup pour créer un groupe de sécurité de réseau.