Documentação do Oracle Cloud Infrastructure

Criando um NSG

Crie um grupo de segurança de rede (NSG) em uma VCN (Virtual Cloud Network).

Cada VCN vem com uma lista de segurança padrão que tem regras de segurança padrão para permitir uma conectividade básica. No entanto, uma VCN não tem um NSG padrão.

Quando você cria um NSG, ele inicialmente está vazio, sem regras de segurança ou VNICs. Se você estiver usando a Console, poderá adicionar regras de segurança ao NSG durante a criação. Familiarize-se com as parts of security rules.

Opcionalmente, você pode designar um nome amigável ao NSG durante a criação. O nome não precisa ser exclusivo e você pode alterá-lo posteriormente. O sistema Oracle designa automaticamente ao NSG um identificador exclusivo chamado OCID (Oracle Cloud ID). Para obter mais informações, consulte: Identificadores de Recurso.

Para fins de controle de acesso, você deve especificar o compartimento onde deseja que o NSG resida. Se você não tiver certeza de qual compartimento usar, consulte um administrador em sua organização. Para obter mais informações, consulte Controle de Acesso.

    1. Na página de lista Redes Virtuais na Nuvem, selecione a VCN com a qual você deseja trabalhar. Se precisar de ajuda para localizar a página de lista ou a VCN, consulte Listando VCNs.
    2. Na página de detalhes, execute uma das seguintes ações, dependendo da opção que você vê:
      • Na guia Segurança, vá para a seção Grupos de Segurança de Rede.
      • Em Recursos, selecione Grupos de Segurança de Rede.
    3. Selecione Criar Grupo de Segurança de Rede.
    4. Informe um nome amigável para o NSG. Ele não precisa ser exclusivo. Evite digitar informações confidenciais.
    5. Verifique o compartimento no qual você deseja criar o NSG. Selecione outro compartimento, se necessário.
    6. (Opcional) Na seção Tags, adicione uma ou mais tags. Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deve ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recursos. Se você não tiver certeza se deseja aplicar tags, ignore essa opção ou pergunte a um administrador. Você pode aplicar as tags posteriormente.
    7. (Opcional) Para criar o NSG sem regras ainda, selecione Criar e pronto.
    8. Na seção Regra, especifique as seguintes informações para uma primeira regra de segurança (para obter exemplos de regras, consulte Cenários de Rede):
      • Selecione um Sem monitoramento de estado ou com monitoramento de estado. Se uma regra for com monitoramento de estado, o rastreamento de conexão será usado para tráfego correspondente à regra. Se uma regra for sem monitoramento de estado, nenhum rastreamento de conexão será usado. Por padrão, as regras têm monitoramento de estado, a menos que você especifique o contrário. Consulte Comparado com Estatísticas com Regras sem Monitoramento de Estado.
      • Selecione uma Direção (entrada ou saída): A entrada é tráfego de entrada para a VNIC e a saída é tráfego de saída da VNIC.

      • Selecione um Tipo de Origem e uma Origem (somente para regras de entrada): A seguir estão os tipos de origem permitidos e os valores de origem que você pode especificar para eles:

        • CIDR: O bloco CIDR onde o tráfego tem origem. Use 0.0.0.0/0 para indicar todos os endereços IP. O prefixo é obrigatório (por exemplo, inclua /32 se você estiver especificando um endereço IP individual). Para obter mais informações sobre notação CIDR, consulte RFC1817 e RFC1519.
        • Serviço: Somente para pacotes provenientes de um serviço Oracle por meio de um gateway de serviço. O serviço de origem é o label do CIDR de serviço no qual você está interessado.
        • Grupo de Segurança de Rede: Um NSG na mesma VCN que o NSG dessa regra.

      • Selecione um Tipo de Destino e um Destino (somente para regras de saída): A seguir estão os tipos de destino permitidos e os valores de destino que você pode especificar para eles:

        • CIDR: O bloco CIDR para o qual o tráfego vai. Use 0.0.0.0/0 para indicar todos os endereços IP. O prefixo é obrigatório (por exemplo, inclua /32 se você estiver especificando um endereço IP individual). Para obter mais informações sobre notação CIDR, consulte RFC1817 e RFC1519.
        • Serviço: Somente para pacotes que se deslocam para um serviço Oracle por meio de um gateway de serviço. O serviço de destino é o label CIDR de serviço no qual você está interessado.
        • Grupo de Segurança de Rede: Um NSG na mesma VCN que o NSG dessa regra.
      • Selecione um Protocolo IP Um único protocolo IPv4 (por exemplo, TCP ou ICMP) ou "todos" para abranger todos os protocolos,
      • Selecione um Intervalo de Portas de Origem: a porta da qual o tráfego se origina. Para TCP ou UDP, você pode especificar todas as portas de origem ou, opcionalmente, pode especificar um único número de porta de origem ou um intervalo.
      • Selecione um Intervalo de Portas de Destino: a porta para a qual o tráfego vai. Para TCP ou UDP, você pode especificar todas as portas de destino ou, opcionalmente, pode especificar um único número de porta de destino ou um intervalo.
      • Selecione um Tipo e Código ICMMP: Para ICMP, você pode especificar todos os tipos e códigos ou, opcionalmente, especificar um único tipo ICMMP com um código opcional. Se o tipo tiver diversos códigos, crie uma regra separada para cada código que você quiser permitir.
      • Informe uma Descrição: Informe uma descrição opcional da regra.
    9. Para adicionar outra regra, selecione + Outra Regra e especifique as informações da regra. Repita o processo para cada regra que você deseja adicionar.
    10. Quando terminar, selecione Criar.

    O NSG é criado e exibido na lista Grupo de Segurança de Rede no compartimento que você escolheu. Agora você pode especificar esse NSG ao criar ou gerenciar instâncias ou outros tipos de recursos pais.

    Ao exibir todas as regras de segurança em um NSG, você poderá filtrar a lista por entrada ou saída.

  • Use o comando NSG create da rede e os parâmetros necessários para criar um NSG em uma VCN:

    oci network nsg create --compartment-id nsg-compartment-ocid --vcn-id vcn-ocid ... [OPTIONS]

    Para obter uma lista completa de flags e opções de variáveis para comandos da CLI, consulte a Referência de Comando da CLI.

  • Execute a operação CreateNetworkSecurityGroup para criar um NSG.