Criando uma Lista de Segurança

No Private Cloud Appliance, você pode criar uma lista de segurança para uma VCN.

Antes de criar uma lista de segurança, exiba as regras de segurança já definidas na lista de segurança padrão e em qualquer outra lista de segurança para essa VCN. Consulte Exibindo Listas de Segurança.

Uma lista de segurança deve ter pelo menos uma regra. Não é necessário que uma lista de segurança tenha regras de entrada e saída.

Evite inserir informações confidenciais em nomes e tags.

    1. No menu de navegação Compute Web UI, selecione Networking e, em seguida, Virtual Cloud Networks.

    2. Na parte superior da página, selecione o compartimento que contém a VCN na qual você deseja criar uma sub-rede.
    3. Selecione o nome da VCN para a qual você deseja criar uma lista de segurança.

      A página de detalhes da VCN é exibida.

    4. Em Recursos, selecione Listas de Segurança.

    5. Selecione Criar Lista de Segurança.

    6. Na caixa de diálogo Criar Lista de Segurança, informe as seguintes informações:

      • Nome: Forneça um nome descritivo para a lista de segurança. O nome não precisa ser exclusivo. Evite digitar informações confidenciais. (O nome não pode ser alterado posteriormente na IU da Web do serviço Compute, mas pode ser alterado com a CLI).

      • Criar no Compartimento: Selecione o compartimento no qual você deseja criar a lista de segurança.

    7. Adicione pelo menos uma regra.

      Para adicionar uma ou mais regras de entrada, selecione +New Rule na caixa Allow Rules for Ingress. Digite as seguintes informações:

      • Sem monitoramento de estado: Se quiser que a nova regra seja sem monitoramento de estado, marque essa caixa. Por padrão, as regras da lista de segurança têm monitoramento de estado e se aplicam a uma solicitação e sua resposta coordenada.

      • CIDR: O bloco CIDR para o tráfego de entrada ou saída.

      • Protocolo IP: A regra pode se aplicar a todos os protocolos IP ou a opções como ICMP, TCP ou UDP. Selecione o protocolo na lista drop-down.

        • Intervalo de Portas: Para alguns protocolos, como TCP ou UDP, você pode fornecer um intervalo de portas de origem e um intervalo de portas de destino.

        • Tipo e Código do Parâmetro: Para ICMP, você pode selecionar um tipo de parâmetro e o código do parâmetro correspondente.

      • Descrição: Uma descrição opcional da regra.

    8. Tagging: (Opcional) Adicione tags definidas ou de formato livre para esse recurso, conforme descrito em Adicionando Tags na Criação de Recursos. As tags também podem ser aplicadas posteriormente.

    9. Selecione Criar Lista de Segurança.

      A página de detalhes da nova lista de segurança é exibida. Você pode especificar essa lista e segurança ao criar ou atualizar uma sub-rede.

  • Use o comando oci network security-list create e os parâmetros necessários a seguir para criar uma nova lista de segurança para a VCN especificada.

    oci network security-list create --compartment-id <compartment_OCID> --vcn-id <vcn_OCID> --ingress-security-rules <ingress_rules> --egress-security-rules <egress_rules> [OPTIONS]

    Para obter uma lista completa de comandos, flags e opções da CLI, consulte a Referência da Linha de Comandos.

    Procedimento

    1. Reúna as informações necessárias para executar o comando:
      • O OCID do compartimento no qual você deseja criar esta lista de segurança (oci iam compartment list)

      • O OCID da VCN para esta lista de segurança (oci network vcn list --compartment-id compartment_OCID)

    2. Construa argumentos para as opções --ingress-security-rules e --egress-security-rules.

      As regras de segurança estão no formato JSON. Para ver como formatar uma regra, use o seguinte comando:

      oci network security-list create --generate-param-json-input ingress-security-rules > ingress.json

      Use o mesmo comando com egress-security-rules.

      As regras de segurança de entrada e saída são as mesmas, exceto pelo fato de as regras de entrada terem propriedades source e sourceType, enquanto as regras de saída têm propriedades destination e destinationType.

      O valor da propriedade protocol é all ou um dos seguintes números: 1 para ICMP, 6 para TCP ou 17 para UDP.

      Ou você pode list ou get a lista de segurança padrão ou outra lista de segurança e copiar os valores das propriedades egress-security-rules e ingress-security-rules.

      Coloque as informações das regras dessa nova lista de segurança nos locais apropriados no formato ou substitua as informações nas regras que você copiou.

      O valor de ambas as opções de regras é uma string entre aspas simples ou um arquivo especificado como file://path_to_file.json.

      As regras de saída e entrada devem estar em uma lista. Se a lista de regras de saída ou a lista de regras de entrada tiver apenas um item, essa única regra deverá ser colocada entre colchetes da mesma forma que várias regras seriam. Consulte o comando na próxima etapa para obter um exemplo mostrando apenas uma regra de entrada.

      As regras de saída e de entrada devem ser especificadas. Consulte o comando na próxima etapa para obter um exemplo que não mostre regras de saída.

    3. Execute o comando security list create.

      Sintaxe:

      Exemplo:

      $ oci network security-list create --compartment-id ocid1.compartment.unique_ID \
      --vcn-id ocid1.vcn.unique_ID --display-name "Limited Port Range" \
      --egress-security-rules [] \
      --ingress-security-rules '[{"source": "10.0.2.0/24", "protocol": "6", "isStateless": true, \
      "tcpOptions": {"destinationPortRange": {"max": 1521, "min": 1521}, \
      "sourcePortRange": {"max": 1521, "min": 1521}}}]'
      {
        "data": {
          "compartment-id": "ocid1.compartment.unique_ID",
          "defined-tags": {},
          "display-name": "Limited Port Range",
          "egress-security-rules": [],
          "freeform-tags": {},
          "id": "ocid1.securitylist.unique_ID",
          "ingress-security-rules": [
            {
              "description": null,
              "icmp-options": null,
              "is-stateless": true,
              "protocol": "6",
              "source": "10.0.2.0/24",
              "source-type": "CIDR_BLOCK",
              "tcp-options": {
                "destination-port-range": {
                  "max": 1521,
                  "min": 1521
                },
                "source-port-range": {
                  "max": 1521,
                  "min": 1521
                }
              },
              "udp-options": null
            }
          ],
          "lifecycle-state": "PROVISIONING",
          "time-created": "unique_ID",
          "vcn-id": "ocid1.vcn.unique_ID"
        },
        "etag": "unique_ID"
      }
  • Use a operação CreateSecurityList para criar uma nova lista de segurança para a VCN especificada.

    Para obter informações sobre como usar a API e assinar solicitações, consulte APIs REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte Kits de Desenvolvimento de Software e Interface de Linha de Comando.