Documentation Oracle Cloud Infrastructure

Créer un pare-feu

Utilisez le service Network Firewall pour créer un pare-feu.

Important

  • Pour de meilleures performances, n'ajoutez pas de règles avec état à la liste de sécurité attachée au sous-réseau du pare-feu, ni n'incluez le pare-feu dans un groupe de sécurité réseau qui contient des règles avec état.
  • Les règles de liste de sécurité ou de groupe de sécurité réseau associées aux cartes d'interface réseau virtuelles du pare-feu sont évaluées avant le pare-feu. Assurez-vous que les règles de liste de sécurité ou de groupe de sécurité réseau permettent au trafic d'entrer dans le pare-feu afin qu'il puisse être évalué de façon appropriée.
  • Si aucune règle n'est spécifiée dans la stratégie que vous utilisez avec le pare-feu, celui-ci refuse tout le trafic.
Remarque

Pour activer NAT sur les pare-feu, assurez-vous qu'au moins quatre adresses IP de rechange sont disponibles sur le sous-réseau du pare-feu pour un pare-feu de 4 Gbits/s et au moins cinq adresses IP de rechange pour un pare-feu de 25 Gbits/s.
    1. Dans le menu de navigation, sélectionnez Identité et sécurité. Accédez à Pare-feu, sélectionnez Pare-feu réseau.
    2. Sélectionnez Créer un pare-feu réseau.
    3. Dans la zone Nom, entrez le nom.
    4. Dans la liste de création dans un compartiment, sélectionnez un compartiment où créer le pare-feu.
    5. Dans la liste Stratégie de pare-feu réseau, sélectionnez une stratégie de pare-feu à associer à ce pare-feu. Si aucune stratégie n'apparaît, essayez de vérifier le compartiment.
      Remarque

      Si vous associez ce pare-feu à une nouvelle stratégie ou à une stratégie mise à niveau, le pare-feu utilise uniquement la nouvelle stratégie ou la stratégie mise à niveau. Vous ne pouvez plus associer ce pare-feu ultérieurement à une ancienne stratégie non mise à niveau.

    6. Dans la liste Réseau cloud virtuel, sélectionnez un VCN.
    7. Dans la liste Sous-réseau, sélectionnez un sous-réseau. Vous pouvez sélectionner des sous-réseaux publics ou privés, standard ou régionaux.
    8. Pour utiliser un groupe de sécurité réseau (NSG) pour contrôler le trafic vers et depuis le pare-feu, cochez la case Utiliser les groupes de sécurité réseau pour contrôler le trafic. Pour ajouter d'autres groupes de sécurité réseau, sélectionnez +Add un autre groupe de sécurité réseau.
    9. Pour entrer une adresse IPv4 et/ou IPv6, cochez la case Je veux affecter manuellement l'adresse IP du sous-réseau au pare-feu. Si vous ne sélectionnez pas cette option, l'adresse IP est automatiquement affectée.
    10. Observez le basculement Activer NAT sur le pare-feu. Si la stratégie de pare-feu réseau que vous avez sélectionnée précédemment contient des règles NAT, cette option est automatiquement activée. Pour désactiver NAT sur ce pare-feu, vous devez supprimer les règles NAT de la stratégie ou sélectionner une autre stratégie.
      Pour en savoir plus sur les règles NAT, reportez-vous à A propos des règles NAT et à Ajout d'une règle NAT à une stratégie de pare-feu. Pour supprimer une règle NAT d'une stratégie de pare-feu, reportez-vous à Suppression d'une règle d'une stratégie de pare-feu.
    11. (Facultatif) Sélectionnez Afficher les options avancées : et indiquez les valeurs suivantes :

      • Dans l'onglet Portée du pare-feu, sélectionnez Déployer vers un seul domaine de disponibilité de la région pour déployer le pare-feu vers un domaine de disponibilité spécifique.

        Les pare-feu régionaux sont déployés sur tous les domaines de disponibilité d'une région. Les pare-feu propres au domaine de disponibilité sont déployés dans un domaine de disponibilité spécifique. Pour plus d'informations sur les domaines de disponibilité, reportez-vous à Régions et domaines de disponibilité.
        Important

        Vous ne pouvez pas modifier ultérieurement un pare-feu déployé dans un seul domaine de disponibilité pour le rendre régional.
      • Pour créer des balises pour le pare-feu, accédez à l'onglet Balisage.
    12. Sélectionnez Créer un pare-feu réseau.

      Une demande de travail est créée pour provisionner une ressource de pare-feu vers le compte cloud. Pour visualiser la demande de travail, sous Ressources, sélectionnez Demandes de travail. Vous pouvez vérifier que le pare-feu est créé lorsqu'il apparaît comme actif.

  • Utilisez la commande network-firewall network-firewall create et les paramètres requis pour créer un pare-feu.
    oci network-firewall network-firewall create --compartment-id compartment_id
 --subnet-id subnet_id --network-firewall-policy-id network_firewall_policy_id[OPTIONS]

    Afin d'obtenir la liste complète des indicateurs et des options de variable pour les commandes d'interface de ligne de commande, reportez-vous à Référence de ligne de commande.

  • Utilisez l'opération CreateNetworkFirewall pour créer un pare-feu.