Documentation sur Oracle Cloud Infrastructure

Création d'une liste de sécurité

Créez une liste de sécurité dans un réseau en nuage virtuel (VCN).

Une liste de sécurité est un pare-feu virtuel utilisé pour contrôler le trafic au niveau des paquets. Pour des informations importantes sur le fonctionnement des listes de sécurité, voir Listes de sécurité.

Une liste de sécurité utilise des règles de sécurité. Pour des informations importantes sur le fonctionnement des règles de sécurité et une comparaison générale des listes de sécurité et des groupes de sécurité de réseau (un pare-feu virtuel facultatif), voir Règles de sécurité.

Lorsque vous créez un sous-réseau, vous devez lui associer au moins une liste de sécurité. Il peut s'agir de la liste de sécurité par défaut du VCN ou d'une autre liste de sécurité que vous avez déjà créée (pour le nombre maximal, voir Limites de service). Vous pouvez modifier les listes de sécurité utilisées par le sous-réseau à tout moment.

Facultativement, vous pouvez affecter un nom convivial à la liste de sécurité lors de la création. Il ne doit pas nécessairement être unique et vous pouvez le modifier ultérieurement. Oracle affecte automatiquement à la liste de sécurité un identificateur unique appelé ID Oracle Cloud (OCID). Pour plus d'informations, voir Identificateurs de ressource.

    1. Dans la page de liste Réseaux en nuage virtuels, sélectionnez le VCN avec lequel vous voulez travailler. Si vous avez besoin d'aide pour trouver la page de liste ou le VCN, voir Liste des réseaux en nuage virtuels.
    2. Dans la page de détails, effectuez l'une des actions suivantes en fonction de l'option affichée :
      • Dans l'onglet Sécurité, allez à la section Listes de sécurité.
      • Sous Ressources, sélectionnez Listes de sécurité.
    3. Sélectionnez Créer une liste de sécurité.
    4. Entrez un nom convivial pour la liste de sécurité. Il ne doit pas nécessairement être unique. Évitez d'entrer des informations confidentielles.
    5. Vérifiez le compartiment dans lequel créer la liste de sécurité. Sélectionnez un autre compartiment si nécessaire.
    6. Ajoutez une règle de trafic entrant ou une règle de trafic sortant (pour obtenir des exemples de règles, voir Scénarios d'utilisation du service de réseau) :
      • Sélectionnez + Une autre règle de trafic entrant ou + Une autre règle de trafic sortant.
      • Indiquez si la règle est avec ou sans état (voir Comparaison entre l'état et les règles sans état). Par défaut, les règles sont avec état, sauf indication contraire.

      • Entrez le CIDR source (pour le trafic entrant) ou de destination (pour le trafic sortant). Par exemple, utilisez 0.0.0.0/0 pour indiquer toutes les adresses IP. Les CIDR que vous pouvez également spécifier dans une règle sont le bloc CIDR d'un réseau sur place ou d'un sous-réseau particulier. Si vous configurez une règle de liste de sécurité pour autoriser le trafic avec une passerelle de service , voir plutôt la section Tâche 3 : (facultatif) Mettre à jour les règles de sécurité. Pour plus d'informations sur la notation CIDR, voir RFC1817 et RFC1519.

      • Sélectionnez le protocole IP (par exemple, TCP, UDP ou ICMP) ou sélectionnez Tous les protocoles.

      • Entrez d'autres détails selon le protocole :

        • Si vous avez choisi TCP ou UDP, entrez un intervalle de ports sources et un intervalle de ports de destination. Vous pouvez entrer Tout pour inclure tous les ports. Pour autoriser un port spécifique, entrez le numéro du port (par exemple, 22 pour SSH ou 3389 pour RDP) ou un intervalle de ports (par exemple, 20–22).
        • Si vous avez choisi ICMP, vous pouvez entrer Tout pour inclure tous les types et codes. Pour autoriser un type ICMP spécifique, entrez le type et un code facultatif séparés par une virgule (par exemple, 3,4). Si vous souhaitez autoriser plusieurs codes pour ce type, créez une règle distincte pour chaque code.
      • Entrez une description facultative de la règle pour gérer les règles de liste de sécurité.
    7. Pour ajouter une autre règle de sécurité, sélectionnez + Une autre règle et entrez les informations la concernant. Répétez l'opération pour chaque règle à ajouter.
    8. (Facultatif) ouvrez la section Marqueurs et affectez des marqueurs à la liste de sécurité. Si vous êtes autorisé à créer une ressource, vous disposez également des autorisations nécessaires pour appliquer des marqueurs à structure libre à cette ressource. Pour appliquer un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Pour plus d'informations sur le marquage, voir Marqueurs de ressource. Si vous ne savez pas si vous devez appliquer des marqueurs, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des marqueurs plus tard.
    9. Lorsque vous avez terminé, sélectionnez Créer une liste de sécurité.

    La liste de sécurité est créée, puis affichée dans la page Listes de sécurité du compartiment sélectionné. Vous pouvez maintenant spécifier cette liste de sécurité lors de la création ou de la mise à jour d'un sous-réseau.

    Lorsque vous consultez toutes les règles d'une liste de sécurité, notez que les règles sans état de la liste sont affichées en premier, alors toutes les règles avec état sont affichées. Les règles sans état de la liste ont priorité sur les règles avec état. Par exemple, si le trafic correspond à une règle sans état et à une règle avec état dans l'ensemble des listes de sécurité associées au sous-réseau, la règle sans état a priorité et la connexion n'est pas suivie.

  • Utilisez la commande network security-list create et les paramètres requis pour créer une liste de sécurité :

    oci network security-list create --compartment-id compartment-ocid --vcn-id vcn-ocid [--egress-security-rules | --ingress-security-rules] rules... [OPTIONS]

    Pour la liste complète des indicateurs et des options de variable pour les commandes de l'interface de ligne de commande, voir Informations de référence sur les commandes de l'interface de ligne de commande.

  • Exécutez l'opération CreateSecurityList pour créer une liste de sécurité.