Documentation sur Oracle Cloud Infrastructure

Création d'une liste de sécurité

Sur Compute Cloud@Customer, vous pouvez créer une liste de sécurité pour un réseau VCN.

Avant de créer une liste de sécurité, consultez les règles de sécurité déjà définies dans la liste de sécurité par défaut et toute autre liste de sécurité pour ce VCN. Voir Consultation des listes de sécurité.

Une liste de sécurité doit comporter au moins une règle. Il n'est pas nécessaire qu'une liste de sécurité comporte à la fois des règles de trafic entrant et sortant.

Évitez d'entrer des informations confidentielles dans les noms et les balises.

    1. Dans le menu de navigation de la console Compute Cloud@Customer, sélectionnez Réseau, puis Réseaux en nuage virtuels.

    2. En haut de la page, sélectionnez le compartiment qui contient le VCN dans lequel vous voulez créer un sous-réseau.

    3. Sélectionnez le nom du VCN pour lequel vous voulez créer une liste de sécurité.

      La page des détails du réseau VCN s'affiche.

    4. Sous Ressources, sélectionnez Listes de sécurité.

    5. Sélectionnez Créer une liste de sécurité.

    6. Dans la boîte de dialogue Créer une liste de sécurité, entrez les informations suivantes :

      • Nom : nom descriptif de la liste de sécurité. Le nom ne doit pas nécessairement être unique. Évitez d'entrer des informations confidentielles. (Le nom ne peut pas être modifié plus tard dans la console, mais peut l'être avec l'interface de ligne de commande).

      • Créer dans le compartiment : Sélectionnez le compartiment dans lequel créer la liste de sécurité.

    7. Ajoutez au moins une règle.

      Pour ajouter une ou plusieurs règles entrantes, sélectionnez +New Rule (Règle de trafic entrant) dans la zone Allow Rules for Ingress (Autoriser les règles pour le trafic entrant). Entrez les informations suivantes :

      • Sans état : Si vous voulez que la nouvelle règle soit sans état, cochez cette case. Par défaut, les règles de liste de sécurité sont avec état et s'appliquent à la fois à une demande et à sa réponse coordonnée.

      • CIDR : Bloc CIDR pour le trafic entrant ou sortant.

      • Protocole IP : La règle peut s'appliquer à tous les protocoles IP, ou à des choix tels qu'ICMP, TCP ou UDP. Sélectionnez le protocole dans la liste déroulante.

        • Intervalle de ports : Pour certains protocoles, tels que TCP ou UDP, vous pouvez fournir un intervalle de ports source et un intervalle de ports de destination.

        • Type et code de paramètre : Pour ICMP, vous pouvez sélectionner un type de paramètre et le code de paramètre correspondant.

      • Description : Description facultative de la règle.

    8. Marquage : (Facultatif) Ajoutez un ou plusieurs marqueurs à cette ressource. Les marqueurs peuvent également être appliqués ultérieurement. Pour plus d'informations sur le marquage des ressources, voir Marqueurs de ressource.

    9. Sélectionnez Créer une liste de sécurité.

      La page des détails de la nouvelle liste de sécurité s'affiche. Vous pouvez spécifier cette liste de sécurité lorsque vous créez ou mettez à jour un sous-réseau.

  • Utilisez la commande oci network security-list create et les paramètres requis pour créer une nouvelle liste de sécurité pour le VCN spécifié.

    oci network security-list create --compartment-id <compartment_OCID> --vcn-id <vcn_OCID> --ingress-security-rules <ingress_rules> --egress-security-rules <egress_rules> [OPTIONS]

    Pour la liste complète des commandes, indicateurs et options de l'interface de ligne de commande, voir Informations de référence sur la ligne de commande.

    Procédure

    1. Collectez les informations dont vous avez besoin pour exécuter la commande :

      • OCID du compartiment dans lequel vous voulez créer cette liste de sécurité (oci iam compartment list)

      • OCID du VCN pour cette liste de sécurité (oci network vcn list --compartment-id compartment_OCID)

    2. Construisez des arguments pour les options --ingress-security-rules et --egress-security-rules.

      Les règles de sécurité sont au format JSON. Pour savoir comment formater une règle, utilisez la commande suivante :

      oci network security-list create --generate-param-json-input ingress-security-rules > ingress.json

      Utilisez la même commande avec egress-security-rules.

      Les règles de sécurité de trafic entrant et sortant sont les mêmes, sauf que les règles de trafic entrant ont des propriétés source et sourceType alors que les règles de trafic sortant ont des propriétés destination et destinationType.

      La valeur de la propriété protocol est all ou l'un des nombres suivants : 1 pour ICMP, 6 pour TCP ou 17 pour UDP.

      Ou, vous pouvez list ou get la liste de sécurité par défaut ou une autre liste de sécurité et copier les valeurs des propriétés egress-security-rules et ingress-security-rules.

      Placez les informations relatives aux règles de cette nouvelle liste de sécurité aux endroits appropriés dans le format, ou remplacez les informations dans les règles que vous avez copiées.

      La valeur des deux options de règle est une chaîne entre apostrophes ou un fichier spécifié comme file://path_to_file.json.

      Les règles de trafic sortant et de trafic entrant doivent figurer dans une liste. Si la liste des règles de trafic sortant ou la liste des règles de trafic entrant ne comporte qu'un seul élément, cette règle unique doit être encadrée par des crochets comme le seraient plusieurs règles. Voir la commande à l'étape suivante pour un exemple montrant une seule règle de trafic entrant.

      Les règles de trafic sortant et entrant doivent être spécifiées. Voir la commande à l'étape suivante pour un exemple d'absence de règles de trafic sortant.

    3. Exécutez la commande de création de liste de sécurité.

      Syntaxe :

      Exemple : 

      $ oci network security-list create --compartment-id ocid1.compartment.unique_ID \
--vcn-id ocid1.vcn.unique_ID --display-name "Limited Port Range" \
--egress-security-rules [] \
--ingress-security-rules '[{"source": "10.0.2.0/24", "protocol": "6", "isStateless": true, \
"tcpOptions": {"destinationPortRange": {"max": 1521, "min": 1521}, \
"sourcePortRange": {"max": 1521, "min": 1521}}}]'
{
  "data": {
    "compartment-id": "ocid1.compartment.unique_ID",
    "defined-tags": {},
    "display-name": "Limited Port Range",
    "egress-security-rules": [],
    "freeform-tags": {},
    "id": "ocid1.securitylist.unique_ID",
    "ingress-security-rules": [
      {
        "description": null,
        "icmp-options": null,
        "is-stateless": true,
        "protocol": "6",
        "source": "10.0.2.0/24",
        "source-type": "CIDR_BLOCK",
        "tcp-options": {
          "destination-port-range": {
            "max": 1521,
            "min": 1521
          },
          "source-port-range": {
            "max": 1521,
            "min": 1521
          }
        },
        "udp-options": null
      }
    ],
    "lifecycle-state": "PROVISIONING",
    "time-created": "unique_ID",
    "vcn-id": "ocid1.vcn.unique_ID"
  },
  "etag": "unique_ID"
}

  • Utilisez l'opération CreateSecurityList pour créer une nouvelle liste de sécurité pour le VCN spécifié.

    Pour plus d'informations sur l'utilisation de l'API et sur les demandes de signature, voir API REST et Données d'identification de sécurité. Pour plus d'informations sur les trousses SDK, voir Trousses SDK et interface de ligne de commande.