Estabelecer as Regras de Segurança do Gateway de Internet
Após a criação do IGW, a configuração de segurança correta deve ser estabelecida para impedir o acesso não autorizado ao gateway. Por exemplo, todos os acessos HTTPS externos só devem ter permissão para acessar a porta 443, que é a porta padrão de acesso seguro à página Web. Sem esta regra explícita, a porta padrão não é acessível.
Esta seção usa listas de segurança para atingir essa meta, mas um resultado semelhante pode ser obtido usando regras de segurança em um Grupo de Segurança de Rede (NSG).
Para obter mais informações sobre listas de segurança e NSGs, consulte Controlando o Tráfego com Listas de Segurança e Controlando o Tráfego com Grupos de Segurança de Rede.
Se você tiver configurado a sub-rede pública para usar a lista de segurança padrão, lembre-se de que o padrão inclui várias regras para permitir o acesso básico, como SSH de entrada e acesso de saída a todos os destinos. Recomendamos que você se familiarize com esse conjunto básico de regras de acesso. Se você não usar a lista de segurança padrão, certifique-se de que o acesso básico ainda seja fornecido nas regras de segurança personalizadas ou em um NSG contendo essas regras modificadas.
Este exemplo adiciona uma regra de entrada à lista de segurança padrão para permitir conexões de entrada para conexões HTTPS na porta TCP 443, a porta padrão para tráfego criptografado por HTTP.
Sem essa regra de entrada, as conexões HTTPS de entrada não são permitidas. Torne a nova regra stateful, que permite uma resposta a uma solicitação HTTPS sem criar uma regra explícita para respostas.
Para obter informações sobre como criar uma nova lista de segurança em vez de modificar o padrão ou adicionar uma regra a uma lista de segurança existente, consulte Criando uma Lista de Segurança.
-
No menu de navegação da Console do Compute Cloud@Customer, selecione Rede e, em seguida, Redes Virtuais na Nuvem.
- Se necessário, altere o compartimento para localizar o recurso que você deseja.
-
Selecione o nome da VCN para a qual você deseja adicionar a regra a uma lista de segurança. A página de detalhes da VCN é exibida.
-
Em Recursos, selecione Listas de Segurança.
-
Atualize ou adicione novas regras da seguinte forma:
-
Para a lista de segurança que você deseja adicionar a regra, selecione o menu Ações (
) e, em seguida, selecione Editar. Faça alterações conforme descrito abaixo. -
Para adicionar uma nova regra, nas seções Permitir Regras, selecione +New Regra. Você também pode atualizar o nome e as tags da lista de segurança. Faça alterações conforme descrito abaixo.
-
-
Selecione Salvar Alterações.
Para o exemplo HTTPS usando a regra de entrada da porta TCP 443, especifique as seguintes informações:
-
Sem monitoramento de estado: Para permitir uma resposta à solicitação HTTPS recebida, a nova regra deve ter monitoramento de estado. Certifique-se de que a caixa sem monitoramento de estado esteja desmarcada. Para obter mais informações sobre regras sem monitoramento de estado e com monitoramento de estado, consulte Controlando o Tráfego com Listas de Segurança.
-
CIDR: O bloco CIDR do exemplo 0.0.0.0/0, que aplica a regra a todos os endereços de origem IP.
-
Protocolo IP: Selecione o protocolo TCP na lista suspensa.
-
Intervalo de Portas:
-
Faixa de Portas de Origem: Deixe em branco.
-
Faixa de Portas de Destino: Informe 443.
-
-
Descrição: Uma descrição opcional da regra, como "Permitir tráfego com monitoramento de estado para HTTPS na porta TCP 443".
Você sempre pode editar a nova regra a qualquer momento.
-
Use o comando oci network security-list update e os parâmetros necessários a seguir para atualizar o nome para exibição ou as regras da lista de segurança especificada. Evite digitar informações confidenciais.
Observação
O objeto
routeRulesque você fornece substitui todo o conjunto de regras existente.oci network security-list update --security-list-id <security_list_OCID> [OPTIONS]Para obter uma lista completa de comandos, flags e opções da CLI, consulte a Referência de Linha de Comandos.
Procedimento
-
Obter o OCID da lista de segurança padrão da VCN que você deseja atualizar (
oci network vcn list --compartment-id compartment_OCID) -
Para atualizar regras, construa argumentos para as opções
--ingress-security-rulese--egress-security-rules, conforme descrito em Criando uma Lista de Segurança. Os argumentos fornecidos para essas opções de regras substituem todas as regras existentes. Se quiser manter algumas regras existentes, use o comando a seguir para mostrar as regras atuais e, em seguida, copie as regras que deseja manter nos novos argumentos de opção.oci network security-list get --security-list-id ocid1.securitylist.unique_IDExemplo (coloque o seguinte conteúdo no arquivo
IGW_ingress_rule.json):[ { "description": null, "icmp-options": null, "is-stateless": false, "protocol": "6", "source": "0.0.0.0/0", "source-type": "CIDR_BLOCK", "tcp-options": { "destination-port-range": { "max": 22, "min": 22 }, "source-port-range": null }, "udp-options": null }, { "description": null, "icmp-options": null, "is-stateless": false, "protocol": "6", "source": "0.0.0.0/0", "source-type": "CIDR_BLOCK", "tcp-options": { "destination-port-range": { "max": 443, "min": 443 }, "source-port-range": null }, "udp-options": null } ] -
Execute o comando de atualização da lista de segurança para adicionar a regra para tráfego HTTPS e TCP porta 443.
Exemplo:
oci network security-list update --security-list-id ocid1.securitylist.unique_ID --ingress-security-rules file:///home/flast/IGW_ingress_rule.json WARNING: Updates to defined-tags and egress-security-rules and freeform-tags and ingress-security-rules will replace any existing values. Are you sure you want to continue? [y/N]: y
-
Use a operação UpdateSecurityList para atualizar o nome para exibição ou as regras da lista de segurança especificada.
Para obter informações sobre como usar a API e assinar solicitações, consulte APIs REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte Kits de Desenvolvimento de Software e Interface de Linha de Comando.