Sicherheitslisten

Der Networking-Service bietet zwei virtuelle Firewallfunktionen, um den Traffic auf Paketebene zu steuern:

  • Sicherheitslisten: Werden in diesem Thema abgedeckt. Dies ist der ursprüngliche Typ der vom Networking-Service angebotenen virtuellen Firewall.
  • Netzwerksicherheitsgruppen: Ein weiterer Typ einer virtuellen Firewall, den wir über Sicherheitslisten empfehlen. Siehe Netzwerksicherheitsgruppen.

Beide Funktionen verwenden Sicherheitsregeln. Wichtige Informationen zur Funktionsweise von Sicherheitsregeln und einen allgemeinen Vergleich von Sicherheitslisten und Netzwerksicherheitsgruppen finden Sie unter Sicherheitsregeln.

Highlights

  • Sicherheitslisten fungieren als virtuelle Firewalls für Compute-Instanzen und andere Arten von Ressourcen. Eine Sicherheitsliste besteht aus einem Set von Ingress- und Egress-Sicherheitsregeln, die für alle VNICs in einem Subnetz gelten, mit dem die Sicherheitsliste verknüpft ist. Das bedeutet, dass alle VNICs in einem spezifischen Subnetz demselben Set von Sicherheitslisten unterliegen. Siehe Vergleich von Sicherheitslisten und Netzwerksicherheitsgruppen.
  • Sicherheitslistenregeln funktionieren genauso wie Netzwerksicherheitsgruppenregeln. Eine Beschreibung der Regelparameter finden Sie unter Elemente einer Sicherheitsregel.
  • Jedes VCN enthält eine Standardsicherheitsliste, die mehrere Standardregeln für den wesentlichen Traffic enthält. Wenn Sie keine benutzerdefinierte Sicherheitsliste für ein Subnetz angeben, wird die Standardsicherheitsliste automatisch mit diesem Subnetz verwendet. Sie können Regeln der Standardsicherheitsliste hinzufügen und daraus entfernen.
  • Sicherheitslisten haben separate und unterschiedliche Limits im Vergleich zu Netzwerksicherheitsgruppen. Siehe Vergleich von Sicherheitslisten und Netzwerksicherheitsgruppen.

Sicherheitslisten - Überblick

Eine Sicherheitsliste dient als virtuelle Firewall für eine Instanz. Mithilfe von Ingress- und Egress-Regeln wird angegeben, welche Traffictypen gesendet und empfangen werden dürfen. Jede Sicherheitsliste wird auf VNIC-Ebene durchgesetzt. Sie konfigurieren Sicherheitslisten jedoch auf Subnetzebene. Das bedeutet, dass alle VNICs in einem Subnetz demselben Set von Sicherheitslisten unterliegen. Die Sicherheitslisten gelten für eine bestimmten VNIC, egal ob sie mit einer anderen Instanz im VCN oder einem Host außerhalb des VCN kommunizieren.

Jedem Subnetz können verschiedene Sicherheitslisten zugeordnet werden, und jeder Liste können viele Regeln zugewiesen werden (die maximale Anzahl finden Sie unter Sicherheitslisten und Netzwerksicherheitsgruppen vergleichen). Ein Paket ist zulässig, wenn eine beliebige Regel in eine der Listen den Traffic zulässt (oder wenn der Traffic Teil einer vorhandenen Verbindung ist, der verfolgt wird), es sei denn, die Listen enthalten sowohl zustandsbehaftete als auch zustandslose Regeln, die denselben Traffic abdecken. Weitere Informationen finden Sie unter Zustandsbehaftete Regeln im Vergleich zu zustandslosen Regeln.

Sicherheitslisten sind regionale Entitys. Grenzwerte für Sicherheitslisten finden Sie unter Sicherheitslisten und Netzwerksicherheitsgruppen im Vergleich.

Sicherheitslisten können sowohl IPv4- als auch IPv6-Traffic steuern. IPv6-Adressierung und zugehörige Sicherheitslistenregeln werden in allen kommerziellen Regionen und Regierungsregionen unterstützt. Weitere Informationen finden Sie unter IPv6-Adressen.

Informationen zu Limits finden Sie unter Limits für Sicherheitslisten und Erhöhung des Servicelimits anfordern.

Standardsicherheitsliste

Im Gegensatz zu anderen Sicherheitslisten enthält die Standardsicherheitsliste ein Set von Regeln, die für zustandsbehafteten Traffic gelten. Wir empfehlen, diese Regeln so zu ändern, dass nur eingehender Traffic von autorisierten Subnetzen zulässig ist, die für die Region relevant sind, in der das VCN oder Subnetz gespeichert ist. Eine Liste der autorisierten Subnetzbereiche, die für die einzelnen Regionen relevant sind, finden Sie unter https://docs.cloud.oracle.com/iaas/tools/public_ip_ranges.json.

  • Zustandsbehafteter Ingress: TCP-Traffic von autorisierten Quell-IP-Adressen und einem beliebigen Quellport auf Zielport 22 (SSH) zulassen. Mit dieser Regel können Sie ganz einfach ein neues Cloud-Netzwerk und öffentliches Subnetz erstellen, eine Linux-Instanz erstellen und dann sofort eine SSH-Verbindung zu dieser Instanz herstellen, ohne selbst Sicherheitslistenregeln schreiben zu müssen.

    Wichtig

    Die Standardsicherheitsliste umfasst keine Regel für den Remote-Desktop Protocol-(RDP-)Zugriff. Wenn Sie Windows-Image verwenden, müssen sie eine Regel für zustandsbehafteten Ingress für TCP-Traffic an Zielport 3389 von autorisierten Quell-IP-Adressen und jedem beliebigen Quellport hinzufügen.

    Weitere Informationen finden Sie unter So aktivieren Sie RDP-Zugriff.

  • Zustandsbehafteter Ingress: ICMP-Traffic vom Typ 3 Code 4 von autorisierten Quell-IP-Adressen zulassen. Mit dieser Regel können Compute-Instanzen Path MTU Discovery-Fragmentierungsmeldungen erhalten.
  • Zustandsbehafteter Ingress: ICMP-Traffic von Typ 3 (alle Codes) vom CIDR-Block des VCN zulassen. Mit dieser Regel können Compute-Instanzen einfacher Konnektivitätsfehlermeldungen von anderen Instanzen innerhalb des VCN empfangen.
  • Zustandsbehafteter Egress: Jeden Traffic zulassen. Dadurch können Instanzen Traffic jeglicher Art zu jedem Ziel starten. Dies bedeutet, dass die Instanzen mit öffentlichen IP-Adressen mit jeder beliebigen Internet-IP-Adresse kommunizieren können, wenn für das VCN ein Internetgateway konfiguriert ist. Da Sicherheitsregeln für zustandsbehafteten Traffic Verbindungstracking verwenden, wird der Antworttraffic unabhängig von Ingress-Regeln automatisch zugelassen. Weitere Informationen finden Sie unter Zustandsbehaftete Regeln im Vergleich zu zustandslosen Regeln.

Die Standardsicherheitsliste enthält keine Regeln für zustandslosen Traffic. Sie können jedoch jederzeit Regeln zur Standardsicherheitsliste hinzufügen bzw. daraus entfernen.

Wenn das VCN für die IPv6-Adressierung aktiviert ist, enthält die Standardsicherheitslisten einige Standardregeln für IPv6-Traffic. Weitere Informationen finden Sie unter Sicherheitsregeln für IPv6-Traffic.

Ping aktivieren

Die Standardsicherheitsliste enthält nicht eine Regel, mit der Ping-Anforderungen zugelassen werden. Wenn Sie eine Instanz pingen möchten, finden Sie weitere Informationen unter Regeln zur Verarbeitung von fragmentierten UDP-Paketen.

Sicherheitsregeln für IPv6-Traffic

Die Netzwerksicherheitsgruppen und Sicherheitslisten des VCN unterstützen sowohl IPv4- als auch IPv6-Sicherheitsregeln. Eine Netzwerksicherheitsgruppe oder Sicherheitsliste könnte beispielsweise folgende Sicherheitsregeln haben:

  • Regel, mit der SSH-Traffic vom IPv4-CIDR des On-Premise-Netzwerks zugelassen wird
  • Regel, mit der Ping-Verkehr vom IPv4-CIDR des On-Premise-Netzwerks zugelassen wird
  • Regel zum Zulassen von SSH-Traffic vom IPv6-Präfix des On-Premise-Netzwerks
  • Regel, mit der Ping-Traffic vom Präfix IPv6 des On-Premise-Netzwerks zugelassen wird

Die Standardsicherheitsliste in einem IPv6-fähigen VCN umfasst IPv4-Standardregeln und die folgenden IPv6-Standardregeln:

  • Zustandsbehafteter Ingress: IPv6-TCP-Traffic von ::/0 und allen Quellports zu Zielport 22 (SSH) zulassen. Mit dieser Regel können Sie einfach ein VCN mit einem öffentlichen Subnetz und Internetgateway erstellen, eine Linux-Instanz erstellen, ein internetfähiges IPv6 hinzufügen und dann sofort mit SSH eine Verbindung zu dieser Instanz herstellen, ohne dass Sie selbst Sicherheitsregeln schreiben müssen.

    Wichtig

    Die Standardsicherheitsliste enthält keine Regel für den Zugriff auf Remote Desktop Protocol (RDP). Wenn Sie Windows-Images verwenden, fügen Sie eine Regel für zustandsbehafteten Ingress für TCP-Traffic auf Zielport 3389 von Quelle ::/0 und jedem Quellport hinzu.

    Weitere Informationen finden Sie unter So aktivieren Sie RDP-Zugriff.

  • Zustandsbehafteter Ingress: ICMPv6-Traffic vom Typ 2 Code 0 (Paket zu groß) von ::/0 und allen Quellports zulassen. Mit dieser Regel können Instanzen Path MTU Discovery-Fragmentierungsmeldungen erhalten.
  • Zustandsbehafteter Egress: Wenn Sie festlegen, dass der gesamte IPv6-Traffic zulässig sein soll, können Instanzen IPv6-Traffic jeder Art zu jedem beliebigen Ziel starten. Beachten Sie, dass Instanzen mit internetfähigem IPv6 mit beliebigen IPv6-Adressen im Internet kommunizieren können, wenn das VCN über ein konfiguriertes Internetgateway verfügt. Da Sicherheitsregeln für zustandsbehafteten Traffic Verbindungstracking verwenden, wird der Antworttraffic unabhängig von Ingress-Regeln automatisch zugelassen. Weitere Informationen finden Sie unter Zustandsbehaftete Regeln im Vergleich zu zustandslosen Regeln.