Oracle Cloud Infrastructure - Dokumentation

Sicherheitsregeln

Der Networking-Service bietet zwei Features einer virtuellen Firewall, die beide Sicherheitsregeln verwenden, um den Traffic auf Paketebene zu steuern. Die beiden Features sind Folgende:

  • Sicherheitslisten: Das ursprüngliche virtuelle Firewallfeature aus dem Networking-Service.
  • Netzwerksicherheitsgruppen (NSGs): Ein nachträglich für Anwendungskomponenten entwickeltes Feature, das unterschiedliche Sicherheitsstatus aufweist. NSGs werden nur für bestimmte Services unterstützt.

Diese beiden Features bieten verschiedene Möglichkeiten, Sicherheitsregeln auf ein Set von virtuellen Netzwerkschnittstellenkarten (VNICs) anzuwenden im virtuellen Cloud-Netzwerk (VCN).

In diesem Thema werden die grundlegenden Unterschiede zwischen den beiden Features zusammengefasst. Außerdem werden wichtige Konzepte zu Sicherheitsregeln erläutert, die Sie verstehen müssen. Das Erstellen, Verwalten und Anwenden von Sicherheitsregeln ist bei Sicherheitslisten und Netzwerksicherheitsgruppen unterschiedlich. Implementierungsdetails finden Sie in den folgenden zugehörigen Themen:

Hinweis

Sie können Zero Trust Packet Routing (ZPR) zusammen mit oder anstelle von Netzwerksicherheitsgruppen verwenden, um den Netzwerkzugriff auf OCI-Ressourcen zu kontrollieren, indem Sie ihnen Sicherheitsattribute anwenden und ZPR-Policys erstellen, um die Kommunikation zwischen ihnen zu steuern. Weitere Informationen finden Sie unter Zero Trust Packet Routing.
Achtung

Wenn ein Endpunkt ein ZPR-Sicherheitsattribut aufweist, muss der Traffic zum Endpunkt ZPR-Regeln sowie alle NSG- und Sicherheitslistenregeln erfüllen. Beispiel: Wenn Sie bereits NSGs verwenden und ein Sicherheitsattribut auf einen Endpunkt anwenden, wird der gesamte Traffic zum Endpunkt blockiert, sobald das Attribut angewendet wird. Ab diesem Zeitpunkt muss eine ZPR-Policy Traffic zum Endpunkt zulassen.

Sicherheitslisten und Netzwerksicherheitsgruppen im Vergleich

Mit Sicherheitslisten können Sie ein Set von Sicherheitsregeln definieren, das für alle VNICs in einem gesamten Subnetz gilt. Um eine spezifische Sicherheitsliste mit einem bestimmten Subnetz zu verwenden, verknüpfen Sie die Sicherheitsliste entweder beim Erstellen des Subnetzes oder später mit dem Subnetz. Ein Subnetz kann mit maximal fünf Sicherheitslisten verknüpft werden. VNICs, die in diesem Subnetz erstellt werden, unterliegen den Sicherheitslisten, die mit dem Subnetz verknüpft sind.

Mit Netzwerksicherheitsgruppen (NSGs) können Sie ein Set von Sicherheitsregeln definieren, das für eine ausgewählte Gruppe von VNICs (oder die übergeordneten Ressourcen der VNICs, wie Load Balancer oder DB-Systeme) gilt. Beispiel: Die VNICs, die zu einer Reihe von Compute-Instanzen gehören, die alle denselben Sicherheitsstatus aufweisen. Um eine spezifische NSG zu verwenden, fügen Sie die relevanten VNICs zu der Gruppe hinzu. VNICs, die dieser Gruppe hinzugefügt wurden, unterliegen den Sicherheitsregeln dieser Gruppe. Eine VNIC kann maximal zu fünf NSGs hinzugefügt werden.

In der folgenden Tabelle werden die Unterschiede zusammengefasst.

Sicherheitstool Gilt für Ermöglicht Einschränkungen
Sicherheitslisten Alle VNICs in einem Subnetz, die diese Sicherheitsliste verwenden Sicherheitsliste mit dem Subnetz zu verknüpfen Maximal fünf Sicherheitslisten pro Subnetz
Netzwerksicherheitsgruppen Ausgewählte VNICs in demselben VCN Bestimmte VNICs zur NSG hinzuzufügen Maximal fünf NSGs pro VNIC

Es wird empfohlen, NSGs anstelle von Sicherheitslisten zu verwenden, da NSGs das Subnetzarchitektur des VCN von den Anwendungssicherheitsanforderungen trennen können.

Sie können jedoch auch Sicherheitslisten und NSGs zusammen verwenden. Weitere Informationen finden Sie unter Wenn Sie Sicherheitslisten und Netzwerksicherheitsgruppen verwenden.

Informationen zu VNICs und übergeordneten Ressourcen

Eine VNIC ist eine Networking-Servicekomponente, die für eine vernetzte Ressource, z.B. eine Compute -Instanz, erforderlich ist, um eine Verbindung zu einem virtuellen Cloud-Netz (VCN) herzustellen. Die VNIC beeinflusst, wie die Instanz Verbindungen mit Endpunkten innerhalb und außerhalb des VCN herstellt. Jede VNIC befindet sich in einem Subnetz in einem VCN.

Wenn Sie eine Computing-Instanz erstellen, wird automatisch eine VNIC für die Instanz im Subnetz der Instanz erstellt. Die Instanz wird als übergeordnete Ressource für die VNIC betrachtet. Sie können eine Compute-Instanz weitere (sekundäre) VNICs hinzufügen. Deshalb werden die VNICs einer Instanz deutlich deutlich sichtbar als Bestandteil der zugehörigen Ressourcen der Compute-Instanz in der Konsole angezeigt.

Andere Typen von übergeordneten Ressourcen führen auch dazu, dass automatisch eine VNIC erstellt wird. Beispiel: Wenn Sie einen Load-Balancer erstellen, erstellt er automatisch VNICs, um Traffic über das Backend-Set auszugleichen. Wenn Sie ein DB-System erstellen, erstellt der Datenbank-Service ebenfalls automatisch VNICs als DB-Systemknoten. Diese VNICs werden für Sie von den Services erstellt und verwaltet. Aus diesem Grund sind diese VNICs in der Konsole nicht sofort sichtbar, wie sie bei VNICs für Computing-Instanzen der Fall sind.

Um eine NSG zu verwenden, fügen Sie aktiv VNICs in die Gruppe ein. Eine VNIC ist nie Teil einer NSG, weil sie sich in einem bestimmten Subnetz befindet. Sie arbeiten in der Regel jedoch mit der übergeordneten Ressource anstatt der VNIC selbst, wenn Sie der Gruppe eine VNIC hinzufügen. Beispiel: Wenn Sie eine Computing-Instanz erstellen, können Sie optional eine NSG für die Instanz angeben. Obwohl Sie die Instanz der Gruppe konzeptionell hinzufügen, fügen Sie die primäre VNIC der Instanz in die Netzwerksicherheitsgruppe ein. Die Sicherheitsregeln der Gruppe gelten für diese VNIC, nicht für die Instanz. Wenn Sie außerdem der Instanz eine sekundäre VNIC hinzufügen, können Sie optional eine NSG für diese VNIC angeben. Die Regeln gelten dann für diese VNIC und nicht für die Instanz. Beachten Sie, dass alle VNICs in einer NSG in demselben VCN enthalten sein müssen, zu dem die NSG gehört.

Wenn Sie einen Load Balancing in einer Netzwerksicherheitsgruppe einfügen, fügen Sie den Load Balancing im Prinzip in die Gruppe ein. Technisch fügen Sie der Netzwerksicherheitsgruppe vom Load Balancer-Service verwaltete VNICs hinzu.

Sie verwalten die VNIC-Mitgliedschaft einer NSG in der übergeordneten Ressource und nicht in der NSG selbst. Beispiel: Um eine übergeordnete Ressource zu einer NSG hinzuzufügen, führen Sie die Aktion mit der übergeordneten Ressource aus (indem sie angeben, welchen NSGs die übergeordnete Ressource hinzugefügt wird). Sie führen die Aktion nicht in der NSG aus (indem Sie angeben, welche VNICs oder übergeordneten Ressourcen der NSG hinzugefügt werden sollen). Um eine VNIC aus einer NSG zu entfernen, führen Sie diese Aktion nicht die NSG, sondern die übergeordnete Ressource aus. Beispiel: Um eine vorhandene Compute-Instanz zu einer NSG hinzuzufügen, aktualisieren Sie die Eigenschaften dieser VNIC und geben die NSG an. Beispiel: Mit der REST-API rufen Sie UpdateVnic auf. Zeigen Sie in der Konsole die Instanz und anschließend die relevante VNIC an, und bearbeiten Sie dann die Eigenschaften der VNIC.

Eine Liste der übergeordneten Ressourcen, die die Verwendung von NSGs unterstützen, finden Sie unter Unterstützung für Netzwerksicherheitsgruppen.

Netzwerksicherheitsgruppe als Quelle oder Ziel einer Regel

Ein wichtiger Unterschied beim Schreiben von Sicherheitsregeln für NSGs im Vergleich zu Sicherheitslisten: Wenn Sie Regeln für eine NSG schreiben, können Sie ein NSG als Quelle des Traffics (für Ingress-Regeln) oder als Ziel des Traffics ( für Egress-Regeln) festlegen. Im Vergleich dazu geben Sie bei Sicherheitslistenregeln ein CIDR als Quelle oder Ziel an.

Dadurch, dass eine NSG angegeben werden kann, können ganz einfach Regeln geschrieben werden, mit denen Traffic zwischen zwei verschiedenen NSGs gesteuert werden kann. Die NSGs müssen sich im selben VCN befinden.

Um den Traffic zwischen VNICs in einer bestimmten NSG zu steuern, können Sie Regeln schreiben, in denen die eigene NSG der Regel als Quelle (für Ingress-Regeln) oder Ziel (für Egress-Regeln) angegeben wird.

Weitere Informationen finden Sie unter Netzwerksicherheitsgruppen - Überblick.

REST-API-Unterschiede

Das REST-API-Modell für NSGs weist einige grundlegende Unterschiede im Vergleich zu Sicherheitslisten auf. Weitere Informationen finden Sie unter API verwenden.

Standardregeln

Ein VCN enthält automatisch eine Standardsicherheitsliste, die verschiedene Standardsicherheitsregeln enthält, um Ihnen den Einstieg in den Networking-Service zu vereinfachen. Wenn Sie ein Subnetz erstellen, wird die Standardsicherheitslisten mit dem Subnetz verknüpft, es sei denn, Sie geben eine benutzerdefinierte Sicherheitsliste an. Die Liste wurde bereits im VCN erstellt.

Im Vergleich dazu hat das VCN keine standardmäßige Netzwerksicherheitsgruppe.

Limits

Die beiden Features weisen unterschiedliche Limits auf. In den Servicelimits finden Sie eine Liste der jeweiligen Limits sowie Anweisungen dazu, wie Sie eine Erhöhung beantragen.

Grenzwerte für Sicherheitslisten

Ressource

Geltungsbereich

Oracle Universal Credits

Pay As You Go oder Testversion
Sicherheitslisten VCN 300 300
Sicherheitslisten Subnetz 5* 5*
Sicherheitsregeln Sicherheitsliste

200 Ingress-Regeln*

und

200 Egress-Regeln*

200 Ingress-Regeln*

und

200 Egress-Regeln*
* Limit für diese Ressource kann nicht erhöht werden
Grenzwerte für Netzwerksicherheitsgruppen
Ressource Geltungsbereich Oracle Universal Credits Pay As You Go oder Testversion
Netzwerksicherheitsgruppen VCN 1000 1000
VNICs Netzwerksicherheitsgruppe

Eine bestimmte Netzwerksicherheitsgruppe kann so viele VNICs enthalten wie ein VCN.

Eine bestimmte VNIC kann bis zu maximal 5 Netzwerksicherheitsgruppen gehören.*

Eine bestimmte Netzwerksicherheitsgruppe kann so viele VNICs enthalten wie ein VCN.

Eine bestimmte VNIC kann bis zu maximal 5 Netzwerksicherheitsgruppen gehören.*
Sicherheitsregeln Netzwerksicherheitsgruppe

120 (Ingress und Egress insgesamt)

120 (Ingress und Egress insgesamt)
* Limit für diese Ressource kann nicht erhöht werden

Best Practices für Sicherheitsregeln

Verwenden Sie Netzwerksicherheitsgruppen

Es wird empfohlen, NSGs für Komponenten zu verwenden, die alle denselben Sicherheitsstatus aufweisen. In einer Multitier-Architektur würden Sie beispielsweise für jede Tier separate NSG haben. Alle VNICs der Tier gehören zur NSG dieser Tier. Innerhalb einer spezifischen Tier kann eine bestimmte Untergruppe der VNICs der Tier vorhanden sind, die besondere Sicherheitsanforderungen haben. Daher würden Sie für diese weiteren Regeln eine weitere NSG erstellen und die Untergruppe von VNICs sowohl in die NSG der Ebene als auch in die zusätzliche NSG platzieren.

Oracle empfiehlt außerdem, NSGs zu verwenden, weil Oracle NSGs beim Implementieren von zukünftigen Verbesserungen gegenüber Sicherheitslisten priorisiert.

Machen Sie sich mit den Standardsicherheitslistenregeln vertraut

Ein VCN enthält automatisch eine Standardsicherheitsliste, die verschiedene Standardsicherheitsregeln enthält, um Ihnen den Einstieg in den Networking-Service zu vereinfachen. Es gibt diese Regeln, weil sie die grundlegende Konnektivität ermöglichen. Selbst wenn Sie weder Sicherheitslisten noch Standardsicherheitsliste verwenden, machen sie sich mit den Regeln vertraut, damit Sie besser verstehen, welche Traffictypen vernetzte Cloud-Ressourcen benötigen. Sie können diese Regeln in NSGs oder benutzerdefinierten Sicherheitslisten verwenden, die Sie einrichten.

Die Standardsicherheitsliste enthält keine Regeln zum Aktivieren von Ping. Wenn Sie Ping verwenden müssen, lesen Sie den Abschnitt Regeln zum Aktivieren von Ping.

Löschen Sie Standardsicherheitsregeln nicht wahllos

Ein VCN verfügt möglicherweise über Subnetze, die standardmäßig die Standardsicherheitsliste verwenden. Löschen Sie keine Standardsicherheitsregeln der Liste, es sei denn, Sie haben zuvor bestätigt, dass Ressourcen im VCN sie nicht benötigen. Andernfalls können Sie die Konnektivität des VCN unterbrechen.

Übereinstimmung der BS-Firewallregeln mit Sicherheitsregeln bestätigen

Compute-Instanzen, auf denen Plattformimages ausgeführt werden, haben auch BS-Firewallregeln, die den Zugriff auf die Instanz steuern. Bei der Fehlerbehebung des Zugriffs auf eine Instanz stellen Sie sicher, dass die folgenden Elemente korrekt festgelegt sind:

  • Die Regeln in den Netzwerksicherheitsgruppen, in denen sich die Instanz befindet
  • Die Regeln in den Sicherheitslisten, die dem Subnetz der Instanz zugeordnet sind
  • Die Firewallregeln des Betriebssystems der Instanz

Wenn auf einer Instanz Oracle Autonomous Linux 8.x, Oracle Autonomous Linux 7, Oracle Linux 8, Oracle Linux 7 oder Oracle Linux Cloud Developer 8 ausgeführt wird, müssen Sie firewalld für die Interaktion mit den iptables-Regeln verwenden. Zu Referenzzwecken sind hier Befehle zum Öffnen eines Ports (in diesem Beispiel 1521) aufgeführt:

sudo firewall-cmd --zone=public --permanent --add-port=1521/tcp
								
sudo firewall-cmd --reload

Bei Instanzen mit einem iSCSI-Boot-Volume kann der vorherige --reload-Befehl Probleme verursachen. Weitere Einzelheiten und einen Workaround finden Sie unter Bei den Instanzen hängt das System, nachdem "firewall-cmd --reload" ausgeführt wurde.

Verwenden Sie VNIC-Metriken zur Fehlerbehebung bei Paketen, die aufgrund von Sicherheitsregeln verworfen wurden

Der Networking-Service bietet Metriken für VNICs, die das VNIC-Trafficaufkommen (Pakete und Byte) zeigen. Zwei der Metriken sind für Ingress- und Egress-Pakete bestimmt, die Sicherheitsregeln verletzen und daher gelöscht werden. Mit diesen Metriken können Sie Probleme im Zusammenhang mit Sicherheitsregeln beheben und angeben, ob die VNICs den richtigen Traffic erhalten.

Wenn Sie Sicherheitslisten und Netzwerksicherheitsgruppen verwenden

Sie können Sicherheitslisten oder Netzwerksicherheitsgruppen jeweils allein oder zusammen verwenden. Dies hängt von den spezifischen Sicherheitsanforderungen ab.

Wenn Sie bestimmte Sicherheitsregeln für alle VNICs in einem VCN durchsetzen möchten: Die einfachste Lösung ist, die Regeln in eine Sicherheitsliste aufzunehmen und dann diese Sicherheitsliste mit allen Subnetzen im VCN zu verknüpfen. Auf diese Weise können Sie sicherstellen, dass die Regeln angewendet werden, unabhängig davon, wer eine VNIC im VCN erstellt. Eine Option besteht darin, die Standardsicherheitsliste des VCN zu verwenden, die zum VCN automatisch dazu zählt und standardmäßig ein Set von wichtigen Regeln enthält.

Wenn Sie und Sicherheitslisten und Netzwerksicherheitsgruppen verwenden, ist die Set von Regeln, die für eine bestimmten VNIC gilt, die Vereinigung dieser Elemente:

  • Die Sicherheitsregeln in den Sicherheitslisten, die dem VNIC-Subnetz zugeordnet sind
  • Die Sicherheitsregeln in allen NSGs, in denen die VNIC enthalten ist

Das folgende Venn-Diagramm ist eine Illustration der Idee.

Eine VNIC unterliegt den Regeln aller Netzwerksicherheitsgruppen, zu denen sie gehört, sowie aller Sicherheitslisten, die mit dem Subnetz verknüpft sind.

VNIC 1 wird von Sicherheitsliste 1, Sicherheitsliste 2, NSG A und NSG B abgedeckt. Ein in Frage stehendes Paket ist zulässig, wenn eine beliebige Regel in eine der relevanten Listen und Gruppen den Traffic zulässt (oder wenn der Traffic Teil einer vorhandenen Verfolgung ist). Eine Einschränkung ist, wenn die Listen sowohl für zustandsbehafteten als als auch zustandslosen Verkehr enthalten, die denselben Traffic abdecken. Weitere Informationen finden Sie unter Zustandsbehaftete Regeln im Vergleich zu zustandslosen Regeln.

Elemente einer Sicherheitsregel

Eine Sicherheitsregel ermöglicht bestimmten Traffictyp in oder aus einer VNIC. Beispiel: Eine gängige Sicherheitsregel ermöglicht ingress-TCP-Port 22-Traffic, um SSH-Verbindungen zu der Instanz (die VNICs der Instanz) herzustellen. Ohne Sicherheitsregeln ist kein Traffic in die oder aus den VNICs im VCN zulässig.

Hinweis

Sicherheitsregeln werden für Traffic mit dem CIDR-Block 169.254.0.0/16 nicht erzwungen, einschließlich Services wie iSCSI und Instanzmetadaten.

Jede Sicherheitsregel gibt die folgenden Elemente an:

  • Richtung (Ingress oder Egress): "Ingress" ist eingehender Traffic zur VNIC, und "Egress" ist ausgehender Traffic von der VNIC. Das REST-API-Modell für Sicherheitslisten unterscheidet sich von den Netzwerksicherheitsgruppen. Sicherheitslisten haben ein IngressSecurityRule-Objekt und ein separates EgressSecurityRule-Objekt. Bei Netzwerksicherheitsgruppen ist nur ein SecurityRule-Objekt vorhanden, und das direction-Attribut des Objekts zeigt an, ob die Regel für den Ingress- oder Egress-Traffic verwendet wird.
  • Zustandsbehaftet oder Zustandslos: Bei "Zustandsbehaftet" wird das Verbindungstracking für den Traffic verwendet, der der Regel entspricht. Bei "Zustandslos" wird kein Verbindungstracking verwendet. Siehe Zustandsbehaftete Regeln im Vergleich zu zustandslosen Regeln.

  • Quelltyp und Quelle (nur Ingress-Regeln): Die Quelle, die Sie für eine Ingress-Regel angeben, hängt vom ausgewählten Quelltyp ab.

    Zulässige Quelltypen
    Quelltyp Zulässige Quelle
    CIDR Der CIDR-Block, aus dem der Traffic stammt. Verwenden Sie 0.0.0.0/0, um alle IP-Adressen anzugeben. Das Präfix ist erforderlich (Beispiel: Geben Sie die /32 an, wenn Sie eine einzelne IP-Adresse angeben). Weitere Informationen zur CIDR-Notation finden Sie unter RFC1817 und RFC1519.
    Netzwerksicherheitsgruppe

    Eine NSG in demselben VCN wie die NSG dieser Regel.

    Dieser Quelltyp ist nur verfügbar, wenn die Regel zu einer NSG und nicht zu einer Sicherheitsliste gehört.
    Service

    Nur für Pakete, die von einem Oracle-Service über ein Servicegateway eingehen. Wenn kein Servicegateway in einem VCN vorhanden ist, kann Traffic, der von der öffentlichen IP eines OSN-Endpunkts stammt, über ein NAT-Gateway oder ein Internetgateway an ein VCN weitergeleitet werden. Der Traffic durchläuft weiterhin das OCI-Backbone zum VCN.

    Der Quellservice ist das gewünschte Service-CIDR-Label.

  • Zieltyp und Ziel (nur Egression-Regeln): Das Ziel, das Sie für eine Egress-Regel angeben, hängt von dem ausgewählten Zieltyp ab

    Zulässige Zieltypen
    Zieltyp Zulässiges Ziel
    CIDR Der CIDR-Block, für den der Traffic bestimmt ist. Verwenden Sie 0.0.0.0/0, um alle IP-Adressen anzugeben. Das Präfix ist erforderlich (Beispiel: Geben Sie die /32 an, wenn Sie eine einzelne IP-Adresse angeben). Weitere Informationen zur CIDR-Notation finden Sie unter RFC1817 und RFC1519.
    Netzwerksicherheitsgruppe

    Eine NSG in demselben VCN wie das NSG dieser Regel.

    Dieser Zieltyp ist nur verfügbar, wenn die Regel zu einer NSG und nicht zu einer Sicherheitsliste gehört.
    Service

    Nur für Pakete, die über ein Servicegateway an einen Oracle-Service (wie Object Storage) gesendet werden. Wenn kein Servicegateway in einem VCN vorhanden ist. Traffic, der für die öffentliche IP eines OSN-Endpunktes bestimmt ist, kann über ein NAT-Gateway oder ein Internetgateway zum OSN weitergeleitet werden. Durch Routing über ein Servicegateway können Sie auswählen, an welche Oracle Services Network-(OSN-)Endpunkte Sie Traffic weiterleiten möchten (wählen Sie unter Nur Object Storage oder Alle Services aus).

    Der Zielservice ist das gewünschte das OSN-Service-CIDR-Label.
  • IP-Protokoll: Entweder ein einzelnes IPv4-Protokoll oder "Alle" zur Abdeckung aller Protokolle.
  • Quellport: Der Port, von dem der Traffic stammt. Bei TCP oder UDP können Sie alle Quellports, optional eine einzelne Quellportnummer oder einen Bereich angeben.
  • Zielport: Der Port, für den der Traffic bestimmt ist. Bei TCP oder UDP können Sie alle Zielports, optional eine einzelne Zielportnummer oder einen Bereich angeben.
  • ICMP-Typ und -Code: Bei ICMP können Sie alle Typen und Codes oder optional einen einzelnen ICMP-Typ mit einem optionalen Code angeben. Wenn der Typ über verschiedene Codes verfügt, müssen Sie eine separate Regel für jeden Code erstellen, den Sie zulassen möchten.
  • Beschreibung (nur NSG-Regeln): NSG-Sicherheitsregeln enthalten ein optionales Attribut, in dem Sie eine benutzerfreundliche Beschreibung der Regel angeben können. Dies wird für Sicherheitslistenregeln nicht unterstützt.

Beispiele zu Sicherheitsregeln finden Sie unter Netzwerkszenarios.

Den Grenzwert für die Anzahl der Regeln, die Sie verwenden können, finden Sie unter Sicherheitslisten und Netzwerksicherheitsgruppen im Vergleich.

Hinweis

Wenn Sie NSGs verwenden und zwei VNICs in demselben VCN mit ihren öffentlichen IP-Adressen kommunizieren müssen, müssen Sie die öffentliche IP-Adresse der VNIC und nicht die NSG der VNIC als Quelle (für Ingress) oder Ziel (für Egress) in den relevanten Sicherheitsregeln verwenden. Das Paket wird an das Internetgateway des VCN weitergeleitet, und an diesem Punkt werden die NSG-Informationen der VNIC nicht verfügbar sein. Daher ist eine Sicherheitsregel, mit der die NSG als Quelle oder Ziel angegeben wird, ineffektiv, wenn diese bestimmte Art von Traffic zugelassen wird.

Zustandsbehaftet im Vergleich zu Regeln für zustandslosen Traffic

Wenn Sie eine Sicherheitsregel erstellen, legen Sie fest, ob es sich um eine zustandsbehafteten oder zustandslosen Traffic handeln soll. Der Unterschied wird in den nächsten Abschnitten beschrieben. Der Standard lautet "Zustandsbehaftet". Regeln für zustandslosen Traffic werden empfohlen, wenn Sie über eine internetbasierte High-Volume-Website verfügen (für den HTTP-/HTTPS-Traffic).

In diesem Abschnitt werden Compute-Instanzen und deren Traffic beschrieben. Die Diskussion gilt jedoch für alle Ressourcentypen mit VNICs. Siehe Vergleich von Sicherheitslisten und Netzwerksicherheitsgruppen.

Regeln für zustandsbehafteten Traffic

Wenn Sie mit der Markierung festlegen, dass eine Sicherheitsregel für zustandsbehafteten Traffic bestimmt ist, bedeutet dies, dass Sie das Verbindungstracking für jeden Traffic verwenden möchten, der dieser Regel entspricht. Wenn eine Instanz Traffic empfängt, der der Regel für zustandsbehafteten Ingress entspricht, wird die Antwort verfolgt und die Rücksendung an den ursprünglichen Host automatisch zugelassen, unabhängig von Egress-Regeln, die für die Instanz gelten. Wenn eine Instanz Traffic sendet, der einer Regel für zustandsbehafteten Egress entspricht, wird die eingehende Antwort automatisch zugelassen, unabhängig von den Ingress-Regeln.

Beispiel: Möglicherweise haben Sie eine Sicherheitsregel für zustandsbehafteten Ingress für eine Instanz (Instanz A), die HTTP-Traffic von Host B empfangen und beantworten muss. Host B kann ein beliebiger Host sein, unabhängig davon, ob es sich um eine Instanz handelt. Instanz A und Host B kommunizieren, weil die Regel für zustandsbehafteten Ingress Traffic von allen Quell-IP-Adressen (0.0.0.0/0) nur an den Zielport 80 (TCP-Protokoll) zulässt. Es ist keine Egress-Regel erforderlich, um den Response-Traffic zu ermöglichen, da Antworten automatisch verfolgt und zugelassen werden.

Regel für zustandsbehafteten Ingress, die eingehenden HTTP-Traffic und -Antworten zulässt
Hinweis

Zustandsbehaftete Regeln speichern Informationen in einer Verbindungstrackingtabelle auf jeder Compute-Instanz. Die Größe dieser Tabelle ist spezifisch für die verwendete Compute-Ausprägung (siehe Seite "Servicelimits" für Connection Tracking). Wenn die Verbindungstrackingtabelle voll ist, können keine neuen Statusinformationen hinzugefügt werden, und neue Verbindungen führen zu Paketverlust. Wenn Sie eine größere Compute-Ausprägung verwenden, können Sie eine größere Tabelle verwenden. Dies reicht jedoch möglicherweise nicht aus, um einen Paketverlust bei Verwendung zustandsbehafteter Regeln zu verhindern.

Wenn ein Subnetz ein hohes Trafficvolumen aufweist, wird empfohlen, zustandslose Regeln anstelle von zustandsbehafteten Regeln zu verwenden.

Regeln für zustandslosen Traffic

Wenn eine Sicherheitsregel als zustandslos gekennzeichnet wird, bedeutet das, dass Sie das Verbindungstracking nicht für jeden Traffic verwenden möchten, der dieser Regel entspricht. Das bedeutet, dass Antworttraffic nicht automatisch zulässig ist. Um den Antworttraffic für eine Regel für zustandslosen Ingress zuzulassen, müssen Sie eine entsprechende Regel für zustandslosen Egress erstellen.

In der nächsten Abbildung werden Instanz A und Host B wie zuvor dargestellt, allerdings jetzt mit Sicherheitsegeln für zustandslosen Traffic. Wie bei der Regel für zustandsbehafteten Traffic im vorherigen Abschnitt, lässt die Regel für zustandslosen Ingress Traffic von allen IP-Adressen und Ports nur auf dem Zielport 80 (mit dem TCP-Protokoll) zu. Um den Antworttraffic zuzulassen, muss eine entsprechende Regel für zustandslosen Egress vorhanden sein, die den Traffic zu einer beliebigen Ziel-IP-Adresse (0.0.0.0/0) und allen Ports nur vom Quellport 80 (mit dem TCP-Protokoll) zulässt.

Regeln für zustandslosen Ingress und Egress, die eingehenden HTTP-Traffic und -Antworten zulassen

Wenn Instanz A stattdessen HTTP-Traffic starten und die Antwort abrufen muss, ist ein anderes Set von Regeln zum Zustandslosen Traffic erforderlich. Wie in der nächsten Abbildung dargestellt, würde in der Egress-Regel als Quellport "Alle" und als Zielport "80 (HTTP)" angegeben sein. In der Ingress-Regel würde dann als Quellport "80" und als Zielport "Alle" angegeben sein.

Regeln für zustandslosen Ingress und Egress, mit denen die Instanz HTTP-Traffic starten und Antworten abrufen kann

Wenn Sie für Instanz A das Port-Binding verwenden, um genau anzugeben, von welchem Port der HTTP-Traffic stammt, können Sie dies als Quellport in der Egress-Regel und als Zielport in der Ingress-Regel angeben.

Hinweis

Wenn Sie aus irgendeinem Grund sowohl zustandsbehaftete als auch zustandslose Regeln verwenden und ein Traffic sowohl einer Regel mit zustandsbehaftetem als auch zustandslosem Traffic in einer bestimmten Richtung (z.B. Ingress) entspricht, hat die Regel mit zustandslosem Traffic Vorrang, und die Verbindung wurde nicht verfolgt. Sie benötigen eine entsprechende Regel in der anderen Richtung (Beispiel: Egress, zustandslos oder zustandsbehaftet), damit der Antworttraffic zugelassen wird.

Verbindungstrackingdetails für Regeln für zustandsbehafteten Traffic

Oracle verwendet Verbindungstracking, damit Antworten für Traffic zuzulassen sind, der mit Regeln für zustandsbehafteten Traffic übereinstimmt (siehe Regeln für zustandsbehafteten Traffic im Vergleich zu zustandslosen Regeln). Jede Instanz hat eine maximale Anzahl gleichzeitiger Verbindungen, die basierend auf der Ausprägung der Instanz überwacht werden können.

Um den Antwortverkehr für TCP, UDP und ICMP zu entscheiden, führt Oracle Verbindungstracking für die folgende Elemente des Pakets aus:

  • Protokoll
  • Quell- und Ziel-IP-Adressen
  • Quell- und Zielports (nur für TCP und UDP)
Hinweis

Bei anderen Protokollen verfolgt Oracle nur das Protokoll und die IP-Adressen, aber nicht die Ports. Wenn eine Instanz Traffic an einen anderen Host startet und dieser Traffic durch Egress-Sicherheitsregeln zugelassen wird, wird jeder Traffic, den die Instanz eine bestimmte Zeit lang später von diesem Host empfängt, als Antworttraffic betrachtet und zugelassen.

Verfolgte Verbindungen werden aufrechterhalten, solange der Traffic für die Verbindung empfangen wird. Wenn eine Verbindung lange genug im Leerlauf ist, wird sie wegen Timeout abgebrochen und entfernt. Nachdem die Verbindung entfernt wurde, werden die Antworten für eine zustandsbehaftete Sicherheitsregel gelöscht. In der folgenden Tabelle sind die standardmäßigen Inaktivitätstimeouts aufgeführt:

Inaktivitätstimeout
Protokoll Status Inaktivitätstimeout
TCP Eingerichtet 1 Tag
TCP Setup 1 Minute
TCP Schließung 2 Minuten
UDP Eingerichtet (dies bedeutet, dass ein Paket in beide Richtungen empfangen wurde) 3 Minuten
UDP Nicht eingerichtet (Paket nur in einer Richtung empfangen) 30 Sekunden
ICMP NICHT VERFÜGBAR 15 Sekunden
Sonstige NICHT VERFÜGBAR 5 Minuten

Pfad-MTU-Discovery-Nachrichten für Regeln für zustandslosen Traffic aktivieren

Wenn Sie Sicherheitsregeln für zustandslosen Traffic verwenden, um Traffic an/von Endpunkten außerhalb des VCN zuzulassen, muss unbedingt eine Sicherheitsregel hinzugefügt werden, die Ingress-ICMP-Traffic vom Typ 3 Code 4 von 0.0.0.0/0 und allen Quellports zulässt. Mit dieser Regel können Compute-Instanzen Path MTU Discovery-Fragmentierungsmeldungen erhalten. Diese Regel ist für das Aufbau einer Verbindung zu Instanzen wichtig. Ohne sie können Konnektivitätsprobleme auftreten. Weitere Informationen finden Sie unter Hängende Verbindung.

Regeln zum Aktivieren von Ping

Die Standardsicherheitsliste des VCN enthält mehrere Standardregeln, von denen jedoch keine Ping-Anforderungen zulässt. Stellen Sie zum Pingen einer Instanz sicher, dass die anwendbaren Sicherheitslisten oder NSGs der Instanz eine zusätzliche zustandsbehaftete Ingress-Regel enthalten, mit der ICMP-Traffictyp 8 vom Quellnetzwerk zugelassen wird. Um den Ping-Zugriff vom Internet aus zu ermöglichen, verwenden Sie 0.0.0.0/0 als Quelle. Beachten Sie, dass sich diese Regel für das Pingen von den ICMP-bezogenen Standardregeln der Standardsicherheitsliste unterscheidet. Entfernen Sie diese Regeln nicht.

Regeln zur Verarbeitung von fragmentierten UDP-Paketen

Instanzen können UDP-Verkehr senden oder empfangen. Ist ein UDP-Paket zu groß für die Verbindung, wird es fragmentiert. Allerdings enthält nur das erste Fragment aus dem Paket die Protokoll- und Portinformationen. Wenn die Sicherheitsregeln, die diesen Ingress- oder Egress-Traffic zulassen, eine bestimmte Portnummer (Quelle oder Ziel) angeben, werden die Fragmente nach dem ersten gelöscht. Wenn Sie erwarten, dass die Compute-Instanzen große UDP-Pakte senden oder empfangen, legen Sie sowohl die Quell- als als auch die Zielports für die entsprechenden Sicherheitsregeln auf ALLE (anstatt einer bestimmten Portnummer) fest.