Documentazione dell'infrastruttura Oracle Cloud

Creazione di una lista di protezione

In Compute Cloud@Customer, puoi creare una lista di sicurezza per una VCN.

Prima di creare una lista di sicurezza, visualizzare le regole di sicurezza già definite nella lista di sicurezza predefinita e in qualsiasi altra lista di sicurezza per questa VCN. Vedere Visualizzazione delle liste di sicurezza.

Una lista di sicurezza deve avere almeno una regola. Non è necessaria una lista di sicurezza per avere sia regole di entrata che di uscita.

Evitare di inserire informazioni riservate nei nomi e nelle etichette.

    1. Nel menu di navigazione della Console di Compute Cloud@Customer selezionare Networking, quindi Reti cloud virtuali.

    2. Nella parte superiore della pagina, selezionare il compartimento contenente la VCN in cui si desidera creare una subnet.

    3. Selezionare il nome della VCN per la quale si desidera creare una lista di sicurezza.

      Viene visualizzata la pagina dei dettagli della VCN.

    4. In Risorse, selezionare Elenchi sicurezza.

    5. Selezionare Crea lista di sicurezza.

    6. Nella finestra di dialogo Crea lista di sicurezza immettere le informazioni riportate di seguito.

      • Nome: fornire un nome descrittivo per la lista di sicurezza. Il nome non deve essere univoco. Evitare di fornire informazioni riservate. (Il nome non può essere modificato in un secondo momento nella console, ma può essere modificato con l'interfaccia CLI).

      • Crea nel compartimento: selezionare il compartimento in cui si desidera creare la lista di sicurezza.

    7. Aggiungere almeno una regola.

      Per aggiungere una o più regole di entrata, selezionare +New Regola nella casella Consenti regole per entrata. Immettere le informazioni riportate di seguito.

      • Senza conservazione dello stato: se si desidera che la nuova regola sia senza conservazione dello stato, selezionare questa casella. Per impostazione predefinita, le regole della lista di sicurezza sono con conservazione dello stato e si applicano sia a una richiesta che alla relativa risposta coordinata.

      • CIDR: il blocco CIDR per il traffico in entrata o in uscita.

      • Protocollo IP: la regola può essere applicata a tutti i protocolli IP o a scelte quali ICMP, TCP o UDP. Selezionare il protocollo dall'elenco a discesa.

        • Intervallo porte: per alcuni protocolli, ad esempio TCP o UDP, è possibile fornire un intervallo di porte di origine e un intervallo di porte di destinazione.

        • Tipo di parametro e codice: per ICMP, è possibile selezionare un tipo di parametro e il codice di parametro corrispondente.

      • Descrizione: una descrizione facoltativa della regola.

    8. Applicazione di tag: (facoltativo) aggiungere una o più tag a questa risorsa. I tag possono essere applicati anche in seguito. Per ulteriori informazioni sull'applicazione di tag alle risorse, vedere Aggiunta di tag alla creazione di risorse (IAM in OCI).

    9. Selezionare Crea lista di sicurezza.

      Viene visualizzata la pagina dei dettagli della nuova lista di sicurezza. È possibile specificare questa lista di sicurezza durante la creazione o l'aggiornamento di una subnet.

  • Utilizzare il comando oci network security-list create e i parametri richiesti per creare una nuova lista di sicurezza per la VCN specificata.

    oci network security-list create --compartment-id <compartment_OCID> --vcn-id <vcn_OCID> --ingress-security-rules <ingress_rules> --egress-security-rules <egress_rules> [OPTIONS]

    Per un elenco completo di comandi, flag e opzioni dell'interfaccia CLI, vedere Riferimento per la riga di comando.

    Procedura

    1. Raccogliere le informazioni necessarie per eseguire il comando:

      • OCID del compartimento in cui si desidera creare questa lista di sicurezza (oci iam compartment list)

      • OCID della VCN per questa lista di sicurezza (oci network vcn list --compartment-id compartment_OCID)

    2. Costruire gli argomenti per le opzioni --ingress-security-rules e --egress-security-rules.

      Le regole di sicurezza sono in formato JSON. Per informazioni sulla formattazione di una regola, utilizzare il comando seguente:

      oci network security-list create --generate-param-json-input ingress-security-rules > ingress.json

      Usare lo stesso comando con egress-security-rules.

      Le regole di sicurezza in entrata e in uscita sono le stesse, ad eccezione del fatto che le regole di entrata hanno proprietà source e sourceType, mentre le regole di uscita hanno proprietà destination e destinationType.

      Il valore della proprietà protocol è all o uno dei seguenti numeri: 1 per ICMP, 6 per TCP o 17 per UDP.

      In alternativa, è possibile list o get la lista di sicurezza predefinita o un'altra lista di sicurezza e copiare i valori delle proprietà egress-security-rules e ingress-security-rules.

      Inserire le informazioni per le regole per questo nuovo elenco di sicurezza nelle posizioni appropriate nel formato oppure sostituire le informazioni nelle regole copiate.

      Il valore di entrambe le opzioni di regole è una stringa tra virgolette singole o un file specificato come file://path_to_file.json.

      Le regole di uscita e di entrata devono essere incluse in una lista. Se l'elenco delle regole di uscita o l'elenco delle regole di entrata contiene un solo elemento, tale singola regola deve essere racchiusa tra parentesi quadre esattamente come sarebbero più regole. Vedere il comando nel passo successivo per un esempio che mostra una sola regola di entrata.

      È necessario specificare sia le regole di uscita che quelle di entrata. Vedere il comando nel passo successivo per un esempio che mostra l'assenza di regole di uscita.

    3. Eseguire il comando di creazione della lista di sicurezza.

      Sintassi:

      Esempio:

      $ oci network security-list create --compartment-id ocid1.compartment.unique_ID \
--vcn-id ocid1.vcn.unique_ID --display-name "Limited Port Range" \
--egress-security-rules [] \
--ingress-security-rules '[{"source": "10.0.2.0/24", "protocol": "6", "isStateless": true, \
"tcpOptions": {"destinationPortRange": {"max": 1521, "min": 1521}, \
"sourcePortRange": {"max": 1521, "min": 1521}}}]'
{
  "data": {
    "compartment-id": "ocid1.compartment.unique_ID",
    "defined-tags": {},
    "display-name": "Limited Port Range",
    "egress-security-rules": [],
    "freeform-tags": {},
    "id": "ocid1.securitylist.unique_ID",
    "ingress-security-rules": [
      {
        "description": null,
        "icmp-options": null,
        "is-stateless": true,
        "protocol": "6",
        "source": "10.0.2.0/24",
        "source-type": "CIDR_BLOCK",
        "tcp-options": {
          "destination-port-range": {
            "max": 1521,
            "min": 1521
          },
          "source-port-range": {
            "max": 1521,
            "min": 1521
          }
        },
        "udp-options": null
      }
    ],
    "lifecycle-state": "PROVISIONING",
    "time-created": "unique_ID",
    "vcn-id": "ocid1.vcn.unique_ID"
  },
  "etag": "unique_ID"
}

  • Utilizzare l'operazione CreateSecurityList per creare una nuova lista di sicurezza per la VCN specificata.

    Per informazioni sull'uso dell'API e sulle richieste di firma, vedere API REST e Credenziali di sicurezza. Per informazioni sugli SDK, vedere Software Development Kit and Command Line Interface (interfaccia a riga di comando e kit di sviluppo software).