Documentation Oracle Cloud Infrastructure

Créer un pare-feu

Utilisez le service Network Firewall pour créer un pare-feu.

Avant de créer un pare-feu, tenez compte des points suivants :
  • Pour de meilleures performances, n'ajoutez pas de règles avec état à la liste de sécurité attachée au sous-réseau du pare-feu, ni n'incluez le pare-feu dans un groupe de sécurité réseau qui contient des règles avec état.
  • Les règles de liste de sécurité ou de groupe de sécurité réseau associées aux cartes d'interface réseau virtuelles du pare-feu sont évaluées avant le pare-feu. Assurez-vous que les règles de liste de sécurité ou de groupe de sécurité réseau permettent au trafic d'entrer dans le pare-feu afin qu'il puisse être évalué de façon appropriée.
  • Si aucune règle n'est spécifiée dans la stratégie que vous utilisez avec le pare-feu, celui-ci refuse tout le trafic.
Remarque

Pour activer NAT sur les pare-feu, assurez-vous qu'au moins quatre adresses IP de rechange sont disponibles sur le sous-réseau de pare-feu pour un pare-feu de 4 Gbits/s et qu'au moins cinq adresses IP de rechange sont disponibles pour un pare-feu de 25 Gbits/s.
    1. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Pare-feu, sélectionnez les stratégies Pare-feu réseau.
    2. Sélectionnez Créer un pare-feu de réseau.
    3. Dans la zone Nom, saisissez un nom descriptif pour le pare-feu. Evitez de saisir des informations confidentielles.
    4. Dans la liste de création dans un compartiment, sélectionnez un compartiment où créer le pare-feu.
    5. Dans la liste Stratégie de pare-feu réseau, sélectionnez une stratégie de pare-feu à associer au pare-feu. Si aucune stratégie n'est affichée, modifiez le compartiment de la stratégie.
      Remarque

      Si vous associez ce pare-feu à une nouvelle stratégie ou à une stratégie mise à niveau, le pare-feu utilise uniquement la nouvelle stratégie ou la stratégie mise à niveau. Vous ne pouvez plus associer ce pare-feu ultérieurement à une ancienne stratégie non mise à niveau.

    6. Dans la liste Réseau cloud virtuel, sélectionnez un VCN. Modifiez le compartiment VCN si nécessaire.
    7. Dans la liste Sous-réseau, sélectionnez un sous-réseau. Vous pouvez sélectionner des sous-réseaux publics ou privés, standard ou régionaux. Modifiez le compartiment de sous-mesure si nécessaire.
    8. Pour utiliser un groupe de sécurité réseau pour contrôler le trafic vers et depuis le pare-feu, sélectionnez Utiliser des groupes de sécurité réseau pour contrôler le trafic, puis sélectionnez Groupe de sécurité réseau. Pour ajouter d'autres groupes de sécurité réseau, sélectionnez Ajouter un autre groupe de sécurité réseau.
    9. Pour entrer une adresse IPv4, une adresse IPv6 ou les deux, sélectionnez l'option Je veux affecter manuellement l'adresse IP du sous-réseau au pare-feu. Si vous ne sélectionnez pas cette option et que vous entrez une adresse IP, celle-ci est automatiquement affectée.
    10. Observez le basculement Activer NAT sur le pare-feu. Si la stratégie de pare-feu réseau que vous avez sélectionnée précédemment contient des règles NAT, cette option est automatiquement activée. Pour désactiver NAT sur ce pare-feu, vous devez supprimer les règles NAT de la stratégie ou sélectionner une autre stratégie.
      Pour en savoir plus sur les règles NAT, reportez-vous à A propos des règles NAT et à Ajout d'une règle NAT à une stratégie de pare-feu. Pour supprimer une règle NAT d'une stratégie de pare-feu, reportez-vous à Suppression d'une règle d'une stratégie de pare-feu.
    11. Sous Portée du pare-feu, sélectionnez Déployer vers un seul domaine de disponibilité dans la région pour déployer le pare-feu vers un domaine de disponibilité spécifique.
      Les pare-feu régionaux sont déployés sur tous les domaines de disponibilité d'une région. Les pare-feu spécifiques au domaine de disponibilité sont déployés dans un domaine de disponibilité spécifique. Pour plus d'informations sur les domaines d'accès, reportez-vous à Régions et domaines d'accès.
      Important

      Un pare-feu déployé sur un seul domaine de disponibilité ne peut pas être remplacé par un pare-feu régional ultérieurement.
    12. Dans la section Balises, ajoutez des balises au pare-feu.
      Si vous disposez des droits d'accès nécessaires pour créer une ressource, vous disposez également de droits d'accès permettant d'appliquer des balises à format libre à cette ressource. Pour appliquer une balise définie, vous devez disposer des droits d'accès nécessaires pour utiliser l'espace de noms de balise. Pour plus d'informations sur le balisage, reportez-vous à Balises de ressource. Si vous n'êtes pas certain d'appliquer des balises, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des balises ultérieurement.
    13. Sélectionnez Créer un pare-feu réseau.

      Une demande de travail est créée pour provisionner une ressource de pare-feu vers le compte cloud. Pour afficher la demande de travail, sélectionnez l'onglet Demandes de travail sur la page de détails du pare-feu. Vous pouvez vérifier que le pare-feu est créé lorsque son statut est défini sur Actif.

  • Utilisez la commande network-firewall network-firewall create et les paramètres requis pour créer un pare-feu.
    oci network-firewall network-firewall create --compartment-id compartment_id
 --subnet-id subnet_id --network-firewall-policy-id network_firewall_policy_id[OPTIONS]

    Afin d'obtenir la liste complète des indicateurs et des options de variable pour les commandes d'interface de ligne de commande, reportez-vous à Référence de ligne de commande.

  • Utilisez l'opération CreateNetworkFirewall pour créer un pare-feu.