Documentazione dell'infrastruttura Oracle Cloud

Creazione di una lista di sicurezza

Creare una lista di sicurezza in una rete cloud virtuale (VCN, Virtual Cloud Network).

Una lista di sicurezza è un firewall virtuale utilizzato per controllare il traffico a livello di pacchetto. Per informazioni importanti sul funzionamento degli elenchi di sicurezza, vedere Elenchi di sicurezza.

Una lista di sicurezza utilizza regole di sicurezza. Per informazioni importanti sul funzionamento delle regole di sicurezza e un confronto generale tra le liste di sicurezza e i gruppi di sicurezza di rete (un firewall virtuale facoltativo), vedere Regole di sicurezza.

Quando crei una subnet, devi associarvi almeno una lista di sicurezza. Può essere la lista di sicurezza predefinita della VCN o un'altra lista di sicurezza già creata (per il numero massimo, vedere Limiti del servizio). È possibile modificare gli elenchi di sicurezza utilizzati dalla sottorete in qualsiasi momento.

Facoltativamente, è possibile assegnare un nome descrittivo alla lista di sicurezza durante la creazione. Non deve essere unico e puoi cambiarlo in seguito. Oracle assegna automaticamente alla lista di sicurezza un identificativo univoco denominato OCID (Oracle Cloud ID). Per ulteriori informazioni, vedere Identificativi delle risorse.

    1. Aprire il menu di navigazione , selezionare Networking, quindi selezionare Reti cloud virtuali.
    2. Fare clic sul nome della VCN a cui si è interessati.
    3. In Risorse fare clic su Elenchi di sicurezza.
    4. Fare clic su Crea lista di sicurezza.
    5. Immettere le informazioni riportate di seguito.
      • Nome: un nome descrittivo per la lista di sicurezza. Il nome non deve essere univoco e può essere modificato in un secondo momento nella console (ma è possibile modificarlo con l'API). Evitare di inserire informazioni riservate.
      • Crea nel compartimento: il compartimento in cui si desidera creare la lista di sicurezza, se diverso dal compartimento in cui si sta attualmente lavorando.
    6. Aggiungere una regola di entrata o di uscita (per esempi di regole, vedere Scenari di networking):
      • Fare clic su + Altra regola di entrata o su + Altra regola di uscita.
      • Scegliere se la regola è con o senza conservazione dello stato (vedere Regole con o senza conservazione dello stato). Per impostazione predefinita, le regole sono con conservazione dello stato a meno che non si specifichi diversamente.

      • Immettere il CIDR di origine (per l'ingresso) o il CIDR di destinazione (per l'uscita). Ad esempio, utilizzare 0.0.0.0/0 per indicare tutti gli indirizzi IP. Altri CIDR tipici che potresti specificare in una regola sono il blocco CIDR per la tua rete on premise o per una determinata subnet. Se si sta impostando una regola della lista di sicurezza per consentire il traffico con un gateway di servizi , vedere invece Task 3: (Facoltativo) Aggiorna regole di sicurezza. Per ulteriori informazioni sulla notazione CIDR, vedere RFC1817 e RFC1519.

      • Selezionare il protocollo IP (ad esempio, TCP, UDP o ICMP) o selezionare All Protocols.

      • Immettere ulteriori dettagli a seconda del protocollo:

        • Se si sceglie TCP o UDP, immettere un intervallo di porte di origine e un intervallo di porte di destinazione. È possibile immettere All per coprire tutte le porte. Se si desidera consentire una porta specifica, immettere il numero di porta (ad esempio, 22 per SSH o 3389 per RDP) o un intervallo di porte (ad esempio, 20-22).
        • Se si sceglie ICMP, è possibile immettere Tutti per coprire tutti i tipi e i codici. Se si desidera consentire un tipo ICMP specifico, immettere il tipo e un codice facoltativo separati da una virgola (ad esempio, 3,4). Se il tipo dispone di più codici che si desidera consentire, creare una regola separata per ogni codice.
      • Immettere una descrizione facoltativa della regola per facilitare la gestione delle regole della lista di sicurezza.
    7. Ripetere il passaggio precedente per ogni regola che si desidera aggiungere all'elenco.
    8. Se lo si desidera, fare clic su Mostra opzioni di applicazione tag e assegnare tag alla lista di sicurezza. Se si dispone delle autorizzazioni per creare una risorsa, si dispone anche delle autorizzazioni per applicare le tag in formato libero a tale risorsa. Per applicare una tag defined, è necessario disporre delle autorizzazioni per utilizzare la tag namespace. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa. Se non si è certi di applicare le tag, saltare questa opzione o chiedere a un amministratore. È possibile applicare le tag in un secondo momento.
    9. Al termine, fare clic su Crea lista di sicurezza.

    La lista di sicurezza viene creata e quindi visualizzata nella pagina Liste di sicurezza nel compartimento scelto. Ora puoi specificare questa lista di sicurezza durante la creazione o l'aggiornamento di una subnet.

    Quando si visualizzano tutte le regole in una lista di sicurezza, si noti che tutte le regole senza conservazione dello stato nella lista vengono visualizzate al di sopra di qualsiasi regola con conservazione dello stato. Le regole senza conservazione dello stato nell'elenco hanno la precedenza sulle regole con conservazione dello stato. In altre parole, se c'è traffico che corrisponde sia a una regola senza conservazione dello stato che a una regola con conservazione dello stato in tutte le liste di sicurezza associate alla subnet, la regola senza conservazione dello stato ha la precedenza e la connessione non viene tracciata.

  • Usare il comando network security-list create e i parametri necessari per creare un elenco di sicurezza:

    oci network security-list create --compartment-id compartment-ocid --vcn-id vcn-ocid [--egress-security-rules | --ingress-security-rules] rules... [OPTIONS]

    Per un elenco completo dei flag e delle opzioni variabili per i comandi CLI, consultare il manuale CLI Command Reference.

  • Eseguire l'operazione CreateSecurityList per creare una lista di sicurezza.