Documentação do Oracle Cloud Infrastructure

Criando uma Lista de Segurança

Crie uma lista de segurança em uma VCN (rede virtual na nuvem).

Uma lista de segurança é um firewall virtual usado para controlar o tráfego no nível do pacote. Para obter informações importantes sobre como as listas de segurança funcionam, consulte Listas de Segurança.

Uma lista de segurança usa regras de segurança. Para obter informações importantes sobre como as regras de segurança funcionam e obter uma comparação geral entre listas de segurança e grupos de segurança de rede (um firewall virtual opcional), consulte Regras de Segurança.

Ao criar uma sub-rede, você deve associar pelo menos uma lista de segurança a ela. Pode ser a lista de segurança padrão da VCN ou outra lista de segurança que você já criou (para obter o número máximo, consulte Limites de Serviço). Você pode alterar quais listas de segurança a sub-rede usará a qualquer momento.

Opcionalmente, você pode designar um nome amigável à lista de segurança durante a criação. Esse nome não precisa ser exclusivo e você pode alterá-lo posteriormente. O sistema Oracle designa automaticamente um identificador exclusivo chamado OCID (Oracle Cloud ID) à lista de segurança. Para obter mais informações, consulte: Identificadores de Recurso.

    1. Na página de lista Redes Virtuais na Nuvem, selecione a VCN com a qual você deseja trabalhar. Se precisar de ajuda para localizar a página de lista ou a VCN, consulte Listando VCNs.
    2. Na página de detalhes, execute uma das seguintes ações, dependendo da opção que você vê:
      • Na guia Segurança, vá para a seção Listas de Segurança.
      • Em Recursos, selecione Listas de Segurança.
    3. Selecione Criar Lista de Segurança.
    4. Digite um nome amigável para a lista de segurança. Ele não precisa ser exclusivo. Evite digitar informações confidenciais.
    5. Verifique o compartimento em que você deseja criar a lista de segurança. Selecione outro compartimento, se necessário.
    6. Adicione uma regra de entrada ou de saída (para obter exemplos de regras, consulte Cenários do Serviço Network):
      • Selecione + Outra Regra de Entrada ou + Outra Regra de Saída.
      • Selecione se a regra tem ou não monitoramento de estado (consulte Comparado com Estatísticas com Regras sem Monitoramento de Estado). Por padrão, as regras têm monitoramento de estado, a menos que você especifique o contrário.

      • Digite o CIDR de origem (para entrada) ou o CIDR de destino (para saída). Por exemplo, use 0.0.0.0/0 para indicar todos os endereços IP. As outras CIDRs típicas que você pode especificar em uma regra são o bloco CIDR de uma rede local ou de uma determinada sub-rede. Se, em vez disso, você estiver configurando uma regra de lista de segurança para permitir o tráfego com um gateway de serviço, consulte a Tarefa 3: (Opcional) Atualizar regras de segurança. Para obter mais informações sobre a notação CIDR, consulte RFC1817 e RFC1519.

      • Selecione o protocolo IP (por exemplo, TCP, UDP ou ICMP) ou selecione Todos os Protocolos.

      • Insira mais detalhes dependendo do protocolo:

        • Se você escolheu TCP ou UDP, informe um intervalo de portas de origem e um intervalo de portas de destino. Você pode informar Todos para abranger todas as portas. Para permitir uma porta específica, informe o número da porta (por exemplo, 22 para SSH ou 3389 para RDP) ou uma faixa de portas (por exemplo, 20 a 22).
        • Se você escolheu ICMP, poderá informar Todos para cobrir todos os tipos e códigos. Para permitir um tipo ICMP específico, informe o tipo e um código opcional separados por uma vírgula (por exemplo, 3,4). Se o tipo tiver diversos códigos que você deseja permitir, crie uma regra separada para cada código.
      • Informe uma descrição opcional da regra para ajudar a gerenciar as regras de listas de segurança.
    7. Para adicionar outra regra, selecione + Outra Regra e especifique as informações da regra. Repita o processo para cada regra que você deseja adicionar.
    8. (Opcional) abra a seção Tags e designe tags à lista de segurança. Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deve ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recursos. Se você não tiver certeza se deseja aplicar tags, ignore essa opção ou pergunte a um administrador. Você pode aplicar tags posteriormente.
    9. Quando terminar, selecione Criar Lista de Segurança.

    A lista de segurança é criada e exibida na página Listas de Segurança no compartimento escolhido. Agora você pode especificar essa lista de segurança ao criar ou atualizar uma sub-rede.

    Quando você exibe todas as regras em uma lista de segurança, observe que todas as regras sem monitoramento de Estado na lista são mostradas primeiro e, em seguida, todas as regras com monitoramento do estado são mostradas. As regras sem monitoramento de estado na lista têm precedência sobre as regras com monitoramento de estado. Por exemplo, se o tráfego corresponder a uma Regra Sem Monitoramento de Estado e uma Regra com Monitoramento de Estado em todas as listas de segurança associadas à sub-rede, a regra sem monitoramento de Estado terá precedência e não a conexão será rastreada.

  • Use o comando network security-list create e os parâmetros necessários para criar uma lista de segurança:

    oci network security-list create --compartment-id compartment-ocid --vcn-id vcn-ocid [--egress-security-rules | --ingress-security-rules] rules... [OPTIONS]

    Para obter uma lista completa de flags e opções de variáveis para comandos da CLI, consulte a Referência de Comando da CLI.

  • Execute a operação CreateSecurityList para criar uma lista de segurança.