在Oracle云上申请了一个免费云空间，据说是永久免费，这里记录一下安全配置问题。

一、访问Oracle云服务器

1、云服务器申请

如何在oracle注册申请云服务可自行搜索一下，有很多文章介绍。

甲骨文Oracle云服务器详细申请教程步骤及注意事项 - 虾皮路

Oracle甲骨文永久免费vps云服务器申请图文教程方法

注意申请成功后，会生成一个私有密钥，一定要保存好私有密钥，否则后面不能访问服务器。

2、通过secureCRT SSH2访问Oracle云服务器

对会话进行PublicKey配置

Connection ->SSH2->Authentication->PublicKey->Properties

选择步骤1中下载的私钥

3、通过winscp SFTP访问Oracle云服务器。

新建站点，在高级里面配置。

选择SSH->验证，密钥文件选择步骤1中下载的私钥，此时WINSCP会提示密钥格式不对，需要转为putty格式的密钥。

注意这里选择私钥时需要选择所有文件类型，否则不能选到SSH2格式的私钥。

点击确定使用puttygen工具转换私钥文件，此时如果转换成功，puttygen会提示需要保存putty格式的私钥。再次点击确定，然后在putty key generator里面保存putty格式的私钥。

保存的私钥为.ppk格式，然后在会话的SSH->验证中，选择刚保存的putty格式私钥，就可以与Oracle服务器进行sftp传输了。

二、安全设置

在通过secureCRT和winscp连接oracle云服务器进行配置后，发现云服务的其它端口都不能访问，在服务器收不到客户端发送的包（通过iperf确认），这一般是防火墙设置问题，所以在oracle官网找了下安全设置。

访问控制通过Firewall rules和Security rules控制。Firewall rules是设置防火墙，设置对单个云服务器有效。Security rules是云服务器的安全规则，对同一账户下的所有云服务器有效。

1、Firewall rules

Firewall rules是设置防火墙，主要设置外部可以访问哪些端口。

Firewall rules需要直接对实例进行配置：

sudo firewall-cmd --zone=public --permanent --add-port=8001/tcp

sudo firewall-cmd --reload

常用防火墙命令

systemctl status firewalld //查看防火墙状态

systemctl start firewalld //开启防火墙

systemctl stop firewalld //停止防火墙

systemctl unmask firewalld.service //防火墙启动失败提示Failed to start firewalld.service: Unit firewalld.service is masked.，时执行

#yum install firewalld //安装firewalld 防火墙

#systemctl start firewalld.service //开启防火墙

systemctl stop firewalld.service //关闭防火墙

systemctl enable firewalld.service //设置开机自动启动

systemctl disable firewalld.service //设置关闭开机制动启动

#firewall-cmd --reload //在不改变状态的条件下重新加载防火墙

启用某个服务

firewall-cmd --zone=public --add-service=https //临时

firewall-cmd --permanent --zone=public --add-service=https //永久

开启某个端口

#firewall-cmd --permanent --zone=public --add-port=8080-8081/tcp //永久

#firewall-cmd --zone=public --add-port=8080-8081/tcp //临时

查看开启的端口和服务

#firewall-cmd --permanent --zone=public --list-services //服务空格隔开 例如 dhcpv6-client https ss

#firewall-cmd --permanent --zone=public --list-ports //端口空格隔开 例如 8080-8081/tcp 8388/tcp 80/tcp

#systemctl restart firewalld.service //修改配置后需要重启服务使其生效

#firewall-cmd --zone=public --query-port=8080/tcp //查看服务是否生效（例：添加的端口为8080）

2、Security rules

Security rules是云服务器的安全规则，

Security rules需要配置Security Lists或者Network Security Groups

Home->Pinned Links->Virtual Cloud Networks->Virtual Cloud Network Details

Ingress是允许访问云服务器哪些端口，Source Port Range为All表示源端口不做限制。

Destination Port Range确定了能够访问的云服务端口，IP Protocol确定了访问使用的传输层协议。