Sicherheitslisten

Der Networking-Service bietet zwei virtuelle Firewallfunktionen, um den Traffic auf Paketebene zu steuern:

Sicherheitslisten: Werden in diesem Thema abgedeckt. Dies ist der ursprüngliche Typ der vom Networking-Service angebotenen virtuellen Firewall.
Netzwerksicherheitsgruppen: Ein weiterer Typ einer virtuellen Firewall, den Oracle noch vor Sicherheitslisten empfiehlt. Siehe Netzwerksicherheitsgruppen.

Beide Funktionen verwenden Sicherheitsregeln. Wichtige Informationen zur Funktionsweise von Sicherheitsregeln und einen allgemeinen Vergleich von Sicherheitslisten und Netzwerksicherheitsgruppen finden Sie unter Sicherheitsregeln.

Highlights

Sicherheitslisten fungieren als virtuelle Firewalls für Ihre Compute-Instanzen und andere Arten von Ressourcen. Eine Sicherheitsliste besteht aus einem Set von Ingress- und Egress-Sicherheitsregeln, die für alle VNICs in einem Subnetz gelten, mit dem die Sicherheitsliste verknüpft ist. Das bedeutet, dass alle VNICs in einem bestimmten Subnetz demselben Set von Sicherheitslisten unterliegen. Siehe Vergleich von Sicherheitslisten und Netzwerksicherheitsgruppen.
Sicherheitslistenregeln funktionieren genauso wie Netzwerksicherheitsgruppenregeln. Eine Beschreibung der Regelparameter finden Sie unter Elemente einer Sicherheitsregel.
Jedes VCN enthält eine Standardsicherheitsliste, die mehrere Standardregeln für den wesentlichen Traffic enthält. Wenn Sie keine benutzerdefinierte Sicherheitsliste für ein Subnetz angeben, wird die Standardsicherheitsliste automatisch mit diesem Subnetz verwendet. Sie können Regeln der Standardsicherheitsliste hinzufügen und daraus entfernen.
Sicherheitslisten haben separate und unterschiedliche Limits im Vergleich zu Netzwerksicherheitsgruppen. Siehe Vergleich von Sicherheitslisten und Netzwerksicherheitsgruppen.

Sicherheitslisten - Überblick

Eine Sicherheitsliste dient als virtuelle Firewall für eine Instanz. Mithilfe von Ingress- und Egress-Regeln wird angegeben, welche Traffictypen gesendet und empfangen werden dürfen. Jede Sicherheitsliste wird auf VNIC-Ebene durchgesetzt. Sie konfigurieren Sicherheitslisten auf Subnetzebene. Das bedeutet, dass alle VNICs im Subnetz demselben Set von Sicherheitslistenregeln unterliegen. Die Sicherheitslisten gelten für eine bestimmte VNIC, unabhängig davon, ob sie mit einer anderen Instanz im VCN oder einem Host außerhalb des VCN kommunizieren.

Jedem Subnetz können mehrere Sicherheitslisten zugeordnet sein, und jeder Liste können mehrere Regeln zugewiesen sein (siehe Sicherheitslisten und Netzwerksicherheitsgruppen im Vergleich). Ein Paket ist zulässig, wenn eine Regel in einer der Listen den Traffic zulässt (oder wenn der Traffic Teil einer vorhandenen Verbindung ist, die verfolgt wird). Es gibt eine Bedingung, wenn die Listen Regeln sowohl für zustandsbehafteten als auch zustandslosen Traffic enthalten, die denselben Traffic abdecken. Weitere Informationen finden Sie unter Regeln für zustandsbehafteten und zustandslosen Traffic im Vergleich.

Sicherheitslisten sind regionale Entitys. Grenzwerte für Sicherheitslisten finden Sie unter Sicherheitslisten und Netzwerksicherheitsgruppen im Vergleich.

Sicherheitslisten können sowohl IPv4- als auch IPv6-Traffic steuern. IPv6-Adressierung und zugehörige Sicherheitslistenregeln werden in allen kommerziellen Regionen und Regierungsregionen unterstützt. Weitere Informationen finden Sie unter IPv6-Adressen.

Informationen zu Limits finden Sie unter Limits für Sicherheitslisten und Erhöhung des Servicelimits anfordern.

Standardsicherheitsliste

Im Gegensatz zu anderen Sicherheitslisten enthält die Standardsicherheitsliste ein anfängliches Set von zustandsbehafteten Regeln. Diese Regeln müssen in den meisten Fällen geändert werden, um eingehenden Traffic nur von autorisierten Subnetzen zuzulassen, die für die Region, in der sich das VCN oder Subnetz befindet, relevant sind. Eine Liste der autorisierten Subnetzbereiche, die für die einzelnen Regionen relevant sind, finden Sie unter https://docs.cloud.oracle.com/iaas/tools/public_ip_ranges.json.

Zustandsbehafteter Ingress: TCP-Traffic an Zielport 22 (SSH) von autorisierten Quell-IP-Adressen und einem beliebigen Quellport zulassen. Mit dieser Regel können Sie ganz einfach ein neues Cloud-Netzwerk und öffentliches Subnetz erstellen, eine Linux-Instanz starten und dann sofort mit SSH eine Verbindung zu dieser Instanz herstellen, ohne selbst Sicherheitslistenregeln schreiben zu müssen.

Wichtig

Die Standardsicherheitsliste enthält keine Regel für den Remote-Desktop Protocol-(RDP-)Zugriff. Wenn Sie Windows-Images verwenden, müssen Sie eine Regel für zustandsbehafteten Ingress für TCP-Traffic an Zielport 3389 von autorisierten Quell-IP-Adressen und einem beliebigen Quellport zulassen.

Weitere Informationen finden Sie unter So aktivieren Sie RDP-Zugriff.
Zustandsbehafteter Ingress: ICMP-Traffic vom Typ 3 Code 4 von autorisierten Quell-IP-Adressen zulassen. Mit dieser Regel können Ihre Instanzen Path MTU Discovery-Fragmentierungsmeldungen erhalten.
Zustandsbehafteter Ingress: ICMP-Traffic vom Typ 3 (alle Codes) vom CIDR-Block Ihres VCN zulassen. Mit dieser Regel können Ihre Instanzen einfacher Konnektivitätsfehlermeldungen von anderen Instanzen innerhalb des VCN empfangen.
Zustandsbehafteter Egress: Jeden Traffic zulassen. Dadurch können Instanzen den Traffic jeder Art zu jedem Ziel initiieren. Dies bedeutet, dass die Instanzen mit öffentlichen IP-Adressen mit jeder beliebigen Internet-IP-Adresse kommunizieren können, wenn für das VCN ein Internetgateway konfiguriert ist. Da Sicherheitsregeln für zustandsbehafteten Traffic Verbindungstracking verwenden, wird der Antworttraffic unabhängig von Ingress-Regeln automatisch zugelassen. Weitere Informationen finden Sie unter Regeln für zustandsbehafteten und zustandslosen Traffic im Vergleich.

Die Standardsicherheitsliste enthält keine Regeln für zustandslosen Traffic. Sie können jedoch jederzeit Regeln zur Standardsicherheitsliste hinzufügen bzw. daraus entfernen.

Wenn Ihr VCN für IPv6-Adressierung aktiviert ist, enthält die Standardsicherheitsliste einige Standardregeln für IPv6-Traffic. Weitere Informationen finden Sie unter Sicherheitsregeln für IPv6-Traffic.

Ping aktivieren

Die Standardsicherheitsliste enthält keine Regel, mit der Ping-Anforderungen zugelassen werden. Wenn Sie eine Instanz pingen möchten, finden Sie weitere Informationen unter Regeln zur Verarbeitung von fragmentierten UDP-Paketen.

Sicherheitsregeln für IPv6-Traffic

Wie Routentabellen unterstützen die Netzwerksicherheitsgruppen und Sicherheitslisten des VCN Sicherheitsregeln IPv4 und IPv6. Eine Netzwerksicherheitsgruppe oder Sicherheitsliste könnte beispielsweise folgende Sicherheitsregeln haben:

Regel, mit der SSH-Traffic vom IPv4-CIDR des On-Premise-Netzwerks zugelassen wird
Regel, mit der Ping-Verkehr vom IPv4-CIDR des On-Premise-Netzwerks zugelassen wird
Regel, mit der SSH-Traffic vom IPv6-Präfix des On-Premise-Netzwerks zugelassen wird
Regel, mit der Ping-Traffic vom IPv6-Präfix des On-Premise-Netzwerks zugelassen wird

Die Standardsicherheitsliste in einem IPv6-fähigen VCN umfasst IPv4-Standardregeln und die folgenden IPv6-Standardregeln:

Zustandsbehafteter Ingress: IPv6-TCP-Traffic von ::/0 und allen Quellports zu Zielport 22 (SSH) zulassen. Mit dieser Regel können Sie einfach ein VCN mit einem öffentlichen Subnetz und Internetgateway erstellen, eine Linux-Instanz erstellen, ein internetfähiges IPv6 hinzufügen und dann sofort mit SSH eine Verbindung zu dieser Instanz herstellen, ohne dass Sie selbst Sicherheitsregeln schreiben müssen.

Wichtig

Die Standardsicherheitsliste enthält keine Regel für den Remote-Desktop Protocol-(RDP-)Zugriff. Wenn Sie Windows-Images verwenden, fügen Sie eine Regel für zustandsbehafteten Ingress für TCP-Traffic auf Zielport 3389 von Quelle ::/0 und jedem Quellport hinzu.

Weitere Informationen finden Sie unter So aktivieren Sie RDP-Zugriff.
Zustandsbehafteter Ingress: ICMPv6-Traffic vom Typ 2 Code 0 (Paket zu groß) von ::/0 und allen Quellports zulassen. Mit dieser Regel können Ihre Instanzen Path MTU Discovery-Fragmentierungsmeldungen erhalten.
Zustandsbehafteter Egress: Wenn Sie auswählen, dass der gesamte IPv6-Traffic zulässig sein soll, können Instanzen IPv6-Traffic jeder Art zu einem beliebigen Ziel initiieren. Beachten Sie, dass Instanzen mit internetfähigem IPv6 mit beliebigen IPv6-Adressen im Internet kommunizieren können, wenn das VCN über ein konfiguriertes Internetgateway verfügt. Da Sicherheitsregeln für zustandsbehafteten Traffic Verbindungstracking verwenden, wird der Antworttraffic unabhängig von Ingress-Regeln automatisch zugelassen. Weitere Informationen finden Sie unter Regeln für zustandsbehafteten und zustandslosen Traffic im Vergleich.

Sicherheitsregeln

Wenn Sie noch nicht mit den Grundlagen von Sicherheitsregeln vertraut sind, lesen Sie die folgenden Abschnitte im Thema zu Sicherheitsregeln: