Documentation sur Oracle Cloud Infrastructure

Création d'une liste de sécurité

Créez une liste de sécurité dans un réseau en nuage virtuel (VCN).

Une liste de sécurité est un pare-feu virtuel utilisé pour contrôler le trafic au niveau des paquets. Pour des informations importantes sur le fonctionnement des listes de sécurité, voir Listes de sécurité.

Une liste de sécurité utilise des règles de sécurité. Pour des informations importantes sur le fonctionnement des règles de sécurité et une comparaison générale des listes de sécurité et des groupes de sécurité de réseau (un pare-feu virtuel facultatif), voir Règles de sécurité.

Lorsque vous créez un sous-réseau, vous devez lui associer au moins une liste de sécurité. Il peut s'agir de la liste de sécurité par défaut du VCN ou d'une autre liste de sécurité que vous avez déjà créée (pour connaître leur nombre maximal, voir Limites de service). Vous pouvez modifier les listes de sécurité utilisées par le sous-réseau à tout moment.

Facultativement, vous pouvez affecter un nom convivial à la liste de sécurité lors de la création. Il ne doit pas nécessairement être unique et vous pouvez le modifier ultérieurement. Oracle affecte automatiquement à la liste de sécurité un identificateur unique appelé ID Oracle Cloud (OCID). Pour plus d'informations, voir Identificateurs de ressource.

    1. Ouvrez le menu de navigation, cliquez sur Réseau, puis sur Réseaux en nuage virtuels.
    2. Cliquez sur le nom du VCN qui vous intéresse.
    3. Sous Ressources, cliquez sur Listes de sécurité.
    4. Cliquez sur Créer une liste de sécurité.
    5. Entrez les informations suivantes :
      • Nom : nom descriptif de la liste de sécurité. Le nom n'a pas besoin d'être unique et peut être modifié plus tard dans la console (mais peut l'être avec l'API). Évitez d'entrer des informations confidentielles.
      • Créer dans le compartiment : compartiment dans lequel vous voulez créer la liste de sécurité, s'il ne s'agit pas de celui que vous utilisez actuellement.
    6. Ajoutez une règle de trafic entrant ou une règle de trafic sortant (pour obtenir des exemples de règles, voir Scénarios d'utilisation du service de réseau) :
      • Cliquez sur + Une autre règle de trafic entrant ou sur + Une autre règle de trafic sortant.
      • Choisissez s'il s'agit d'une règle avec ou sans état (voir Règles avec état et règles sans état). Par défaut, les règles sont avec état, sauf indication contraire.

      • Entrez le CIDR source (pour le trafic entrant) ou de destination (pour le trafic sortant). Par exemple, utilisez 0.0.0.0/0 pour indiquer toutes les adresses IP. Parmi les blocs CIDR que vous pouvez également spécifier dans une règle figure le bloc CIDR de votre réseau sur place ou d'un sous-réseau particulier. Si vous configurez une règle de liste de sécurité pour autoriser le trafic avec une passerelle de service , voir plutôt la section Tâche 3 : (facultatif) Mettre à jour les règles de sécurité.

      • Sélectionnez le protocole IP (par exemple, TCP, UDP ou ICMP) ou sélectionnez Tous les protocoles.

      • Entrez d'autres détails selon le protocole :

        • Si vous avez choisi TCP ou UDP, entrez un intervalle de ports sources et un intervalle de ports de destination. Vous pouvez entrer Tous pour inclure tous les ports. Pour autoriser un port spécifique, entrez son numéro (par exemple, 22 pour SSH ou 3389 pour RDP) ou un intervalle de ports (par exemple, 20–22).
        • Si vous avez sélectionné ICMP, vous pouvez entrer Tous pour inclure tous les types et codes. Si vous voulez autoriser un type ICMP spécifique, entrez le type et un code facultatif séparés par une virgule (par exemple, 3,4). Si vous souhaitez autoriser plusieurs codes pour chaque type, créez une règle distincte.
      • Entrez une description facultative de la règle pour faciliter la gestion des règles de liste de sécurité.
    7. Répétez l'étape précédente pour chaque règle à ajouter à la liste.
    8. Facultativement, cliquez sur Afficher les options de marquage et affectez des marqueurs à la liste de sécurité. Si vous êtes autorisé à créer une ressource, vous disposez également des autorisations nécessaires pour appliquer des marqueurs à structure libre à cette ressource. Pour appliquer un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Pour plus d'informations sur le marquage, voir Marqueurs de ressource. Si vous n'êtes pas sûr d'appliquer des marqueurs, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des marqueurs plus tard.
    9. Lorsque vous avez terminé, cliquez sur Créer une liste de sécurité.

    La liste de sécurité est créée, puis affichée dans la page Listes de sécurité du compartiment sélectionné. Vous pouvez maintenant spécifier cette liste de sécurité lors de la création ou de la mise à jour d'un sous-réseau.

    Lorsque vous consultez toutes les règles d'une liste de sécurité, notez que les règles sans état de la liste sont affichées au-dessus des règles avec état. Les règles sans état de la liste ont priorité sur les règles avec état. En d'autres termes, si le trafic correspond à une règle sans état et à une règle avec état dans l'ensemble des listes de sécurité associées au sous-réseau, la règle sans état a priorité et la connexion n'est pas suivie.

  • Utilisez la commande network security-list create et les paramètres requis pour créer une liste de sécurité :

    oci network security-list create --compartment-id compartment-ocid --vcn-id vcn-ocid [--egress-security-rules | --ingress-security-rules] rules... [OPTIONS]

    Pour la liste complète des indicateurs et des options de variable pour les commandes de l'interface de ligne de commande, voir Informations de référence sur les commandes de l'interface de ligne de commande.

  • Exécutez l'opération CreateSecurityList pour créer une liste de sécurité.