Documentazione dell'infrastruttura Oracle Cloud

Creazione di una lista di sicurezza

Creare una lista di sicurezza in una rete cloud virtuale (VCN, Virtual Cloud Network).

Una lista di sicurezza è un firewall virtuale utilizzato per controllare il traffico a livello di pacchetto. Per informazioni importanti sul funzionamento degli elenchi di sicurezza, vedere Elenchi di sicurezza.

Una lista di sicurezza utilizza regole di sicurezza. Per informazioni importanti sul funzionamento delle regole di sicurezza e un confronto generale tra le liste di sicurezza e i gruppi di sicurezza di rete (un firewall virtuale facoltativo), vedere Regole di sicurezza.

Quando crei una subnet, devi associarvi almeno una lista di sicurezza. Può essere la lista di sicurezza predefinita della VCN o un'altra lista di sicurezza già creata (per il numero massimo, vedere Limiti del servizio). È possibile modificare gli elenchi di sicurezza utilizzati dalla sottorete in qualsiasi momento.

Facoltativamente, è possibile assegnare un nome descrittivo alla lista di sicurezza durante la creazione. Non deve essere unico e puoi cambiarlo in seguito. Oracle assegna automaticamente alla lista di sicurezza un identificativo univoco denominato OCID (Oracle Cloud ID). Per ulteriori informazioni, vedere Identificativi delle risorse.

    1. Nella pagina elenco Reti cloud virtuali, selezionare la VCN con cui si desidera lavorare. Se hai bisogno di aiuto per trovare la pagina della lista o la VCN, consulta la sezione relativa all'elenco delle reti VCN.
    2. Nella pagina dei dettagli eseguire una delle azioni riportate di seguito a seconda dell'opzione visualizzata.
      • Nella scheda Sicurezza, andare alla sezione Elenchi sicurezza.
      • In Risorse, selezionare Elenchi sicurezza.
    3. Selezionare Crea lista di sicurezza.
    4. Immettere un nome descrittivo per la lista di sicurezza. Non deve essere unico. Evitare di fornire informazioni riservate.
    5. Verificare il compartimento in cui si desidera creare la lista di sicurezza. Selezionare un altro compartimento, se necessario.
    6. Aggiungere una regola di entrata o di uscita (per esempi di regole, vedere Scenari di networking):
      • Selezionare + Altra regola di entrata o + Altra regola di uscita.
      • Selezionare se la regola è con conservazione dello stato o senza conservazione dello stato (vedere Confrontato con conservazione dello stato con regole senza conservazione dello stato). Per impostazione predefinita, le regole sono con conservazione dello stato a meno che non si specifichi diversamente.

      • Immettere il CIDR di origine (per l'ingresso) o il CIDR di destinazione (per l'uscita). Ad esempio, utilizzare 0.0.0.0/0 per indicare tutti gli indirizzi IP. Altri CIDR tipici che è possibile specificare in una regola sono il blocco CIDR per una rete in locale o per una subnet specifica. Se si sta impostando una regola della lista di sicurezza per consentire il traffico con un service gateway, vedere invece Task 3: (facoltativo) Aggiorna regole di sicurezza. Per ulteriori informazioni sulla notazione CIDR, vedere RFC1817 e RFC1519.

      • Selezionare il protocollo IP (ad esempio, TCP, UDP o ICMP) o selezionare All Protocols.

      • Immettere ulteriori dettagli a seconda del protocollo:

        • Se si sceglie TCP o UDP, immettere un intervallo di porte di origine e un intervallo di porte di destinazione. È possibile immettere All per coprire tutte le porte. Per consentire una porta specifica, immettere il numero di porta (ad esempio, 22 per SSH o 3389 per RDP) o un intervallo di porte (ad esempio, 20–22).
        • Se si sceglie ICMP, è possibile immettere All per coprire tutti i tipi e i codici. Per consentire un tipo ICMP specifico, immettere il tipo e un codice facoltativo separati da una virgola (ad esempio, 3,4). Se il tipo contiene più codici che si desidera consentire, creare una regola separata per ciascun codice.
      • Immettere una descrizione facoltativa della regola per facilitare la gestione delle regole della lista di sicurezza.
    7. Per aggiungere un'altra regola di sicurezza, selezionare + Altra regola e immettere le informazioni della regola. Ripetere l'operazione per ogni regola da aggiungere.
    8. (Facoltativo) aprire la sezione Tag e assegnare tag alla lista di sicurezza. Se si dispone delle autorizzazioni per creare una risorsa, si dispone anche delle autorizzazioni per applicare tag in formato libero a tale risorsa. Per applicare una tag defined, è necessario disporre delle autorizzazioni per utilizzare la tag namespace. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa. Se non sei sicuro di applicare i tag, salta questa opzione o chiedi a un amministratore. È possibile applicare i tag in un secondo momento.
    9. Al termine, selezionare Crea lista di sicurezza.

    La lista di sicurezza viene creata e quindi visualizzata nella pagina Liste di sicurezza nel compartimento scelto. Ora puoi specificare questa lista di sicurezza durante la creazione o l'aggiornamento di una subnet.

    Quando si visualizzano tutte le regole in un elenco di sicurezza, si noti che le regole senza conservazione dello stato dell'elenco vengono visualizzate per prime, quindi vengono visualizzate tutte le regole con conservazione dello stato. Le regole senza conservazione dello stato nell'elenco hanno la precedenza sulle regole con conservazione dello stato. Ad esempio, se il traffico corrisponde sia a una regola senza conservazione dello stato che a una regola con conservazione dello stato in tutte le liste di sicurezza associate alla subnet, la regola senza conservazione dello stato ha la precedenza e la connessione non viene tracciata.

  • Usare il comando network security-list create e i parametri necessari per creare un elenco di sicurezza:

    oci network security-list create --compartment-id compartment-ocid --vcn-id vcn-ocid [--egress-security-rules | --ingress-security-rules] rules... [OPTIONS]

    Per un elenco completo dei flag e delle opzioni variabili per i comandi CLI, consultare il manuale CLI Command Reference.

  • Eseguire l'operazione CreateSecurityList per creare una lista di sicurezza.