Documentazione di Oracle Cloud Infrastructure

Creazione di una lista di sicurezza

In Compute Cloud@Customer, puoi creare una lista di sicurezza per una VCN.

Prima di creare una lista di sicurezza, visualizzare le regole di sicurezza già definite nella lista di sicurezza predefinita e in qualsiasi altra lista di sicurezza per questa VCN. Vedere Visualizzazione delle liste di sicurezza.

Una lista di sicurezza deve disporre di almeno una regola. Non è necessario che una lista di sicurezza abbia regole sia di entrata che di uscita.

Evitare di inserire informazioni riservate in nomi e tag.

    1. Nel menu di navigazione della Console di Compute Cloud@Customer selezionare Networking, quindi Reti cloud virtuali.

    2. Nella parte superiore della pagina, selezionare il compartimento contenente la VCN in cui si desidera creare una subnet.

    3. Selezionare il nome della VCN per la quale si desidera creare una lista di sicurezza.

      Viene visualizzata la pagina dei dettagli della VCN.

    4. In Risorse, selezionare Elenchi sicurezza.

    5. Selezionare Crea lista di sicurezza.

    6. Nella finestra di dialogo Crea lista di sicurezza, immettere le informazioni riportate di seguito.

      • Nome: fornire un nome descrittivo per la lista di sicurezza. Il nome non deve essere univoco. Evitare di fornire informazioni riservate. (Il nome non può essere modificato in un secondo momento nella console, ma può essere modificato con l'interfaccia CLI).

      • Crea nel compartimento: selezionare il compartimento in cui si desidera creare la lista di sicurezza.

    7. Aggiungere almeno una regola.

      Per aggiungere una o più regole di entrata, selezionare +New Regola nella casella Consenti regole per entrata. Immettere le informazioni riportate di seguito.

      • Senza conservazione dello stato: se si desidera che la nuova regola sia senza conservazione dello stato, selezionare questa casella. Per impostazione predefinita, le regole della lista di sicurezza sono con conservazione dello stato e si applicano sia a una richiesta che alla relativa risposta coordinata.

      • CIDR: il blocco CIDR per il traffico in entrata o in uscita.

      • Protocollo IP: la regola può essere applicata a tutti i protocolli IP o a tutte le scelte quali ICMP, TCP o UDP. Selezionare il protocollo dall'elenco a discesa.

        • Intervallo porte: per alcuni protocolli, ad esempio TCP o UDP, è possibile fornire un intervallo di porte di origine e un intervallo di porte di destinazione.

        • Tipo di parametro e codice: per ICMP, è possibile selezionare un tipo di parametro e il codice di parametro corrispondente.

      • Descrizione: una descrizione facoltativa della regola.

    8. Applicazione di tag: (facoltativo) aggiungere una o più tag a questa risorsa. Le tag possono essere applicate anche in seguito. Per ulteriori informazioni sull'applicazione di tag alle risorse, vedere Tag delle risorse.

    9. Selezionare Crea lista di sicurezza.

      Viene visualizzata la pagina dei dettagli della nuova lista di sicurezza. È possibile specificare questa lista di sicurezza durante la creazione o l'aggiornamento di una subnet.

  • Utilizzare il comando oci network security-list create e i parametri necessari per creare una nuova lista di sicurezza per la VCN specificata.

    oci network security-list create --compartment-id <compartment_OCID> --vcn-id <vcn_OCID> --ingress-security-rules <ingress_rules> --egress-security-rules <egress_rules> [OPTIONS]

    Per un elenco completo dei comandi, dei flag e delle opzioni dell'interfaccia CLI, vedere Command Line Reference.

    Procedura

    1. Raccogliere le informazioni necessarie per eseguire il comando:

      • L'OCID del compartimento in cui si desidera creare questa lista di sicurezza (oci iam compartment list)

      • OCID della VCN per questa lista di sicurezza (oci network vcn list --compartment-id compartment_OCID)

    2. Costruisce gli argomenti per le opzioni --ingress-security-rules e --egress-security-rules.

      Le regole di sicurezza sono in formato JSON. Per informazioni sulla formattazione di una regola, usare il comando seguente:

      oci network security-list create --generate-param-json-input ingress-security-rules > ingress.json

      Utilizzare lo stesso comando con egress-security-rules.

      Le regole di sicurezza di entrata e uscita sono le stesse, ad eccezione del fatto che le regole di entrata hanno proprietà source e sourceType mentre le regole di uscita hanno proprietà destination e destinationType.

      Il valore della proprietà protocol è all o uno dei numeri seguenti: 1 per ICMP, 6 per TCP o 17 per UDP.

      In alternativa, è possibile list o get la lista di sicurezza predefinita o un'altra lista di sicurezza e copiare i valori delle proprietà egress-security-rules e ingress-security-rules.

      Inserire le informazioni per le regole per questo nuovo elenco di sicurezza nelle posizioni appropriate nel formato o sostituire le informazioni nelle regole copiate.

      Il valore di entrambe le opzioni di regole è una stringa tra apici o un file specificato come file://path_to_file.json.

      Le regole di uscita e entrata devono essere incluse in una lista. Se l'elenco delle regole di uscita o l'elenco delle regole di entrata contiene un solo elemento, tale singola regola deve essere racchiusa tra parentesi quadre come lo sarebbero più regole. Per un esempio che mostra una sola regola di entrata, vedere il comando nel passo successivo.

      È necessario specificare sia le regole di uscita che quelle di entrata. Per un esempio che mostra nessuna regola di uscita, vedere il comando nel passo successivo.

    3. Eseguire il comando di creazione della lista di sicurezza.

      Sintassi:

      Esempio:

      $ oci network security-list create --compartment-id ocid1.compartment.unique_ID \
--vcn-id ocid1.vcn.unique_ID --display-name "Limited Port Range" \
--egress-security-rules [] \
--ingress-security-rules '[{"source": "10.0.2.0/24", "protocol": "6", "isStateless": true, \
"tcpOptions": {"destinationPortRange": {"max": 1521, "min": 1521}, \
"sourcePortRange": {"max": 1521, "min": 1521}}}]'
{
  "data": {
    "compartment-id": "ocid1.compartment.unique_ID",
    "defined-tags": {},
    "display-name": "Limited Port Range",
    "egress-security-rules": [],
    "freeform-tags": {},
    "id": "ocid1.securitylist.unique_ID",
    "ingress-security-rules": [
      {
        "description": null,
        "icmp-options": null,
        "is-stateless": true,
        "protocol": "6",
        "source": "10.0.2.0/24",
        "source-type": "CIDR_BLOCK",
        "tcp-options": {
          "destination-port-range": {
            "max": 1521,
            "min": 1521
          },
          "source-port-range": {
            "max": 1521,
            "min": 1521
          }
        },
        "udp-options": null
      }
    ],
    "lifecycle-state": "PROVISIONING",
    "time-created": "unique_ID",
    "vcn-id": "ocid1.vcn.unique_ID"
  },
  "etag": "unique_ID"
}

  • Utilizzare l'operazione CreateSecurityList per creare una nuova lista di sicurezza per la VCN specificata.

    Per informazioni sull'uso dell'API e delle richieste di firma, vedere API REST e Credenziali di sicurezza. Per informazioni sugli SDK, vedere Software Development Kits and Command Line Interface.