IT001

現場(環境):Oracle Cloud

先前有介紹到如何開啟主機&Container，

今天來看一下如何設定安全規則(防火牆)。

點選雲端平台左上方的選項>Services

選擇Compute Classic

接著會連接到熟悉的雲端平台管理頁面

選擇Network

在Oracle cloud當中，安全性規則都在同一個地方進行設定。

在預設開啟的規則方面，
Linux只有開啟ssh / Windows只有開啟RDP

選擇Security rule > Create Security Rule

可以看到他的必填欄位主要就是名稱。

其他部分部填寫的話，表示全部都直接套用No Set(都可以通的意思)

Type部分:

Ingress 表示連線進來 (IN)

Egress  表示連線出去 (OUT)

因為規則都統一管理的關係，

要在這邊選出要對哪個Instance做防火牆的設定。

這跟其他雲端平台方法其實很像。

其他平台是建立各自的Security Group各自套用。

這邊是在統一的頁面當中選擇Access Control List (Group)。

Security Protocols當中有部分預設的Port可以挑選。

不夠的可以自行再去建置。

下方這樣選擇的狀況是指

在這個MyInstance_20180510XXX安全規則中，

可以接受沒有限制來源端的連入(In)的PING。

這樣當然還不夠安全。

還沒辦法設定Source/Desination IP Address Prefix sets的關係是因為，

在還沒事先定義的狀況下，這邊根本沒甚麼可以選擇。

Source/Desination vNICset 部分是指對哪個Instance的哪張網卡做設定。

(因為網卡可能不只一張)

剩下Description / Tags 主要是在進行描述&標記。

所以在還沒有去自定義IP位址的現在，

我們只能設定全部流入or全部流出。

這樣不太好，所以我們先去進行IP位址的定義行為。

IP Address Prefix Sets > Create IP Address Prefix Set

預設狀況看到的rfc1918當中定義的IP位址都是內部IP，

在沒有反向NAT或者Proxy的狀況下，是些無法讓外部網際網路連線的IP位址。

EX: 192.168.X.X 、172.16.X.X-172.31.X.X、10.X.X.X

這邊一樣定義名稱，輸入IP位址/Prefix

EX: 8.8.8.8/32 (範例)

這邊命名注意，不能用到空白

設定範例如下圖:

設定完成後就可以看到IP位址加到IP Address Prefix Set List當中。

在創建Access Control List的地方也可以選到。

另外還有如果遇設的Protocol沒有我們要使用的。

就要自行建立。

Security Protocols > Create Security Protocols

自行定義名稱

選擇IP Protocol是哪種協定。

接著如果是一個區間的Port，你也可以設定

來源端保持空值

EX: FTP (TCP-20-21)

最後描述&標註

完成後就會顯示在List列表

順帶提到，如果設定錯誤，點選最後方的選項。

就可以選擇Update修改或者刪除規則。

這邊設定完成後，一樣可以在Access Control List的地方也可以選到

接著我們用剛剛設定的物件來建立規則。

EX: 在MyInstance20180510XXX_AccessControlList當中，

讓8.8.8.8/32 可以透過 TCP-20/21 連入(In) MyInstance20180510XXX

可以看到規則順利添加在MyInstance20180510XXX_AccessControlList下方

接著我們再透過相同的方式針對Linux(ssh)_AccessControlList做Egress

他就會依序加在Security Rules下方。

如果要依規則分類，就點選一下Access Control List，

他就會依序排列下去，也算是蠻方便的。

之後如果有需求，就自行依照這個方式進行相關設定吧。

<本篇完>