Oracle Cloud Infrastructure - Dokumentation

Sicherheitsregeln

Der Networking-Service bietet zwei Features einer virtuellen Firewall, die beide Sicherheitsregeln verwenden, um den Traffic auf Paketebene zu steuern. Die beiden Features sind Folgende:

  • Sicherheitslisten: Das ursprüngliche Feature der virtuellen Firewall aus dem Networking-Service.
  • Netzwerksicherheitsgruppen (NSGs): Ein nachträgliches Feature, das für Anwendungskomponenten mit unterschiedlichen Sicherheitsstatus entwickelt wurde. NSGs werden nur für bestimmte Services unterstützt.

Diese beiden Features bieten verschiedene Möglichkeiten, Sicherheitsregeln auf ein Set von virtuellen Netzwerkkarten (VNICs)  im virtuellen Cloud-Netzwerk (VCN) anzuwenden.

In diesem Thema werden die grundlegenden Unterschiede zwischen den beiden Features zusammengefasst. Außerdem werden wichtige Konzepte zu Sicherheitsregeln erläutert, die Sie verstehen müssen. Das Erstellen, Verwalten und Anwenden von Sicherheitsregeln ist bei Sicherheitslisten und Netzwerksicherheitsgruppen unterschiedlich. Implementierungsdetails finden Sie in den folgenden zugehörigen Themen:

Sicherheitslisten und Netzwerksicherheitsgruppen im Vergleich

Mit Sicherheitslisten können Sie ein Set von Sicherheitsregeln definieren, das für alle VNICs in einem gesamten Subnetz gilt. Um eine bestimmte Sicherheitsliste mit einem bestimmten Subnetz zu verwenden, verknüpfen Sie die Sicherheitsliste entweder beim Erstellen des Subnetzes oder später mit dem Subnetz. Ein Subnetz kann mit maximal fünf Sicherheitslisten verknüpft werden. VNICs, die in diesem Subnetz erstellt werden, unterliegen den Sicherheitslisten, die mit dem Subnetz verknüpft sind.

Mit Netzwerksicherheitsgruppen (NSGs) können Sie ein Set von Sicherheitsregeln definieren, das für VNICs Ihrer Wahl gilt (oder für die übergeordneten Ressourcen der VNICs, wie Load Balancer oder DB-Systeme). Beispiel: Die VNICs, die zu einem Set von Compute-Instanzen gehören, die alle denselben Sicherheitsstatus aufweisen. Um eine bestimmte NSG zu verwenden, fügen Sie die für die Gruppe relevanten VNICs hinzu. VNICs, die dieser Gruppe hinzugefügt wurden, unterliegen den Sicherheitsregeln dieser Gruppe. Eine VNIC kann maximal zu fünf NSGs hinzugefügt werden.

In der folgenden Tabelle werden die Unterschiede zusammengefasst.

Sicherheitstool Gilt für Ermöglicht Einschränkungen
Sicherheitslisten Alle VNICs in einem Subnetz, die diese Sicherheitsliste verwenden Sicherheitsliste mit dem Subnetz zu verknüpfen Maximal fünf Sicherheitslisten pro Subnetz
Netzwerksicherheitsgruppen Ausgewählte VNICs in demselben VCN Bestimmte VNICs zur NSG hinzuzufügen Maximal fünf NSGs pro VNIC

Oracle empfiehlt die Verwendung von NSGs anstelle von Sicherheitslisten, da NSGs die Subnetzarchitektur des VCN von Ihren Anforderungen an die Anwendungssicherheit trennen können.

Sie können jedoch auch Sicherheitslisten und NSGs zusammen verwenden. Weitere Informationen finden Sie unter Wenn Sie Sicherheitslisten und Netzwerksicherheitsgruppen verwenden.

Informationen zu VNICs und übergeordneten Ressourcen

Eine VNIC ist eine Komponente des Networking-Service, mit der eine vernetzte Ressource wie eine Compute-Instanz eine Verbindung zu einem virtuellen Cloud-Netzwerk (VCN) herstellen kann. Die VNIC bestimmt, wie die Instanz mit Endpunkten innerhalb und außerhalb des VCN verbunden wird. Jede VNIC befindet sich in einem Subnetz in einem VCN.

Wenn Sie eine Compute-Instanz erstellen, wird automatisch eine VNIC für die Instanz im Subnetz der Instanz erstellt. Die Instanz wird als übergeordnete Ressource für die VNIC betrachtet. Sie können einer Compute-Instanz weitere (sekundäre) VNICs hinzufügen. Deshalb werden die VNICs einer Instanz deutlich sichtbar als Bestandteil der zugehörigen Ressourcen einer Compute-Instanz in der Konsole angezeigt.

Es gibt auch andere Arten von übergeordneten Ressourcen, die Sie erstellen können, und die auch zur automatischen Erstellung einer VNIC führen. Beispiel: Wenn Sie einen Load Balancer erstellen, erstellt der Load Balancer-Service automatisch VNICs, um den Traffic über das Backend-Set auszugleichen. Wenn Sie ein DB-System erstellen, erstellt der Datenbank-Service ebenfalls automatisch VNICs als DB-Systemknoten. Diese VNICs werden für Sie von den Services erstellt und verwaltet. Deshalb sind diese VNICs in der Konsole nicht sofort sichtbar, wie dies bei VNICs für Compute-Instanzen der Fall ist.

Um eine NSG zu verwenden, platzieren Sie die gewünschten VNICs in die Gruppe. Sie arbeiten in der Regel jedoch mit der übergeordneten Ressource anstatt der VNIC selbst, wenn Sie der Gruppe eine VNIC hinzufügen. Beispiel: Wenn Sie eine Compute-Instanz erstellen, können Sie optional eine NSG für die Instanz angeben. Obwohl Sie prinzipiell die Instanz der Gruppe hinzufügen, fügen Sie tatsächlich die primäre VNIC der Instanz der Netzwerksicherheitsgruppe hinzu. Die Sicherheitsregeln der Gruppe gelten für diese VNIC, nicht für die Instanz. Wenn Sie außerdem der Instanz eine sekundäre VNIC hinzufügen, können Sie optional eine NSG für diese VNIC angeben. Die Regeln gelten dann für diese VNIC und nicht für die Instanz. Beachten Sie, dass alle VNICs in einem bestimmten NSG in dem VCN enthalten sein müssen, zu dem die NSG gehört.

Wenn Sie einen Load Balancer zu einer Netzwerksicherheitsgruppe hinzufügen, fügen Sie im Prinzip den Load Balancer der Gruppe hinzu. Tatsächlich fügen Sie der Netzwerksicherheitsgruppe jedoch vom Load Balancer-Service verwaltete VNICs hinzu.

Sie verwalten die VNIC-Mitgliedschaft einer NSG in der übergeordneten Ressource und nicht in der NSG selbst. Anders ausgedrückt, um eine übergeordnete Ressource zu einer NSG hinzuzufügen, führen Sie die Aktion mit der übergeordneten Ressource aus (indem Sie angeben, welchen NSGs die übergeordnete Ressource hinzugefügt werden soll). Sie führen die Aktion nicht in der NSG aus (indem Sie angeben, welche VNICs oder übergeordneten Ressourcen zur NSG hinzugefügt werden sollen). Um eine VNIC aus einer NSG zu entfernen, führen Sie diese Aktion aus, indem Sie die übergeordnete Ressource aktualisieren und nicht die NSG. Beispiel: Um die VNIC einer vorhandenen Compute-Instanz zu einer NSG hinzuzufügen, aktualisieren Sie die Eigenschaften dieser VNIC, und geben Sie die NSG an. Beispiel: Mit der REST-API rufen Sie UpdateVnic auf. Zeigen Sie in der Konsole die Instanz und anschließend die gewünschte VNIC an. Dann bearbeiten Sie die Eigenschaften der VNIC.

Eine Liste der übergeordneten Ressourcen, die die Verwendung von NSGs unterstützen, finden Sie unter Unterstützung für Netzwerksicherheitsgruppen.

Netzwerksicherheitsgruppe als Quelle oder Ziel einer Regel

Es gibt einen wichtigen Unterschied, wie Sie Sicherheitsregeln für NSGs gegenüber Sicherheitslisten schreiben können.

Beim Schreiben von Regeln für eine NSG können Sie eine NSG als Quelle des Traffics (für Ingress-Regeln) oder als Ziel des Traffics (für Egress-Regeln) angeben. Im Vergleich dazu geben Sie bei Sicherheitslistenregeln ein CIDR als Quelle oder Ziel an.

Dadurch, dass eine NSG angegeben werden kann, können ganz einfach Regeln geschrieben werden, mit denen Traffic zwischen zwei verschiedenen NSGs gesteuert werden kann. Die NSGs müssen sich im selben VCN befinden.

Wenn Sie außerdem Traffic zwischen VNICs in einer bestimmten NSG steuern möchten, können Sie Regeln schreiben, die die eigene NSG der Regel als Quelle (für Ingress-Regeln) oder Ziel (für Egress-Regeln) angeben.

Weitere Informationen finden Sie unter Netzwerksicherheitsgruppen - Überblick.

REST-API-Unterschiede

Das REST-API-Modell enthält einige grundlegende Unterschiede für NSGs im Vergleich zu Sicherheitslisten. Weitere Informationen finden Sie unter API verwenden.

Standardregeln

Das VCN verfügt automatisch über eine Standardsicherheitsliste, die mehrere Standardsicherheitsregeln enthält, um Ihnen die ersten Schritte mit dem Networking-Service zu erleichtern. Wenn Sie ein Subnetz erstellen, wird die Standardsicherheitsliste mit dem Subnetz verknüpft, es sei denn, Sie geben eine benutzerdefinierte Sicherheitsliste an, die Sie bereits im VCN erstellt haben.

Im Vergleich dazu verfügt das VCN über keine standardmäßige Netzwerksicherheitsgruppe.

Limits

Die beiden Features weisen unterschiedliche Limits auf. Unter Servicelimits finden Sie eine Liste der jeweiligen Limits sowie Anweisungen dazu, wie Sie eine Erhöhung anfordern.

Grenzwerte für Sicherheitslisten

Ressource

Geltungsbereich

Oracle Universal Credits

Pay-as-you-go oder Testversion

Sicherheitslisten VCN 300 300
Sicherheitslisten Subnetz 5* 5*
Sicherheitsregeln Sicherheitsliste

200 Ingress-Regeln*

und

200 Egress-Regeln*

200 Ingress-Regeln*

und

200 Egress-Regeln*
* Limit für diese Ressource kann nicht erhöht werden
Grenzwerte für Netzwerksicherheitsgruppen
Ressource Geltungsbereich Oracle Universal Credits Pay-as-you-go oder Testversion
Netzwerksicherheitsgruppen VCN 1000 1000
VNICs Netzwerksicherheitsgruppe

Eine bestimmte Netzwerksicherheitsgruppe kann so viele VNICs enthalten wie ein VCN.

Eine bestimmte VNIC kann bis zu maximal 5 Netzwerksicherheitsgruppen gehören.*

Eine bestimmte Netzwerksicherheitsgruppe kann so viele VNICs enthalten wie ein VCN.

Eine bestimmte VNIC kann bis zu maximal 5 Netzwerksicherheitsgruppen gehören.*
Sicherheitsregeln Netzwerksicherheitsgruppe

120 (Ingress und Egress insgesamt)

120 (Ingress und Egress insgesamt)
* Limit für diese Ressource kann nicht erhöht werden

Best Practices für Sicherheitsregeln

Verwenden Sie Netzwerksicherheitsgruppen

Oracle empfiehlt die Verwendung von NSGs für Komponenten, die alle denselben Sicherheitsstatus aufweisen. In einer Multi-Tier-Architektur würden Sie beispielsweise für jede Tier separate NSG haben. Alle VNICs einer Tier gehören zu der NSG dieser Tier. Innerhalb einer bestimmten Tier kann eine bestimmte Untergruppe der VNICs der Tier vorhanden sein, die zusätzliche besondere Sicherheitsanforderungen haben. Daher würden Sie für diese zusätzlichen Regeln eine weitere NSG erstellen und diese Untergruppe von VNICs sowohl in der NSG der Tier als auch in der zusätzlichen NSG platzieren.

Oracle empfiehlt außerdem die Verwendung von NSGs, weil Oracle bei der Implementierung von zukünftigen Verbesserungen NSGs gegenüber Sicherheitslisten Priorität einräumen wird.

Machen Sie sich mit den Standardsicherheitslistenregeln vertraut

Das VCN verfügt automatisch über eine Standardsicherheitsliste, die mehrere Standardsicherheitsregeln enthält, um Ihnen die ersten Schritte mit dem Networking-Service zu erleichtern. Es gibt diese Regeln, weil sie die grundlegende Konnektivität ermöglichen. Selbst wenn Sie keine Sicherheitslisten oder Standardsicherheitsliste verwenden, machen Sie sich mit den Regeln vertraut, damit Sie die Traffictypen besser verstehen, die Ihre vernetzten Cloud-Ressourcen benötigen. Möglicherweise möchten Sie diese Regeln in Ihren NSGs oder benutzerdefinierten Sicherheitslisten verwenden, die Sie einrichten.

Die Standardsicherheitsliste enthält keine Regeln zum Aktivieren von Ping. Wenn Sie Ping verwenden müssen, lesen Sie den Abschnitt Regeln zum Aktivieren von Ping.

Löschen Sie Standardsicherheitsregeln nicht wahllos

Das VCN verfügt möglicherweise über Subnetze, die standardmäßig die Standardsicherheitsliste verwenden. Löschen Sie keine Standardsicherheitsregeln aus der Liste, es sei denn, Sie haben bereits bestätigt, dass die Ressourcen in Ihrem VCN diese nicht benötigen. Andernfalls kann die Konnektivität des VCN unterbrochen werden.

Stellen Sie sicher, dass die Firewallregeln Ihres Betriebssystems mit Ihren Sicherheitsregeln ausgerichtet sind

Ihre Instanzen, auf denen Plattformimages ausgeführt werden, verfügen auch über Firewallregeln des Betriebssystems, die den Zugriff auf die Instanz steuern. Stellen Sie bei der Fehlerbehebung des Zugriffs auf eine Instanz sicher, dass alle folgenden Elemente korrekt festgelegt sind:

  • Die Regeln in den Netzwerksicherheitsgruppen, in denen sich die Instanz befindet
  • Die Regeln in den Sicherheitslisten, die dem Subnetz der Instanz zugeordnet sind
  • Die Firewallregeln des Betriebssystems der Instanz

Wenn auf Ihrer Instanz Oracle Autonomous Linux 8.x, Oracle Autonomous Linux 7, Oracle Linux 8, Oracle Linux 7 oder Oracle Linux Cloud Developer 8 ausgeführt wird, müssen Sie firewalld für die Interaktion mit den iptables-Regeln verwenden. Zu Referenzzwecken sind hier Befehle zum Öffnen eines Ports (in diesem Beispiel 1521) aufgeführt:

sudo firewall-cmd --zone=public --permanent --add-port=1521/tcp
								
sudo firewall-cmd --reload

Bei Instanzen mit einem iSCSI-Boot-Volume kann der vorherige --reload-Befehl Probleme verursachen. Weitere Einzelheiten und einen Workaround finden Sie unter Bei den Instanzen hängt das System, nachdem "firewall-cmd --reload" ausgeführt wurde.

Verwenden Sie VNIC-Metriken zur Fehlerbehebung bei Paketen, die aufgrund von Sicherheitsregeln verworfen wurden

Der Networking-Service bietet Metriken für VNICs, die das VNIC-Trafficaufkommen (Pakete und Byte) zeigen. Zwei der Metriken sind für Ingress- und Egress-Pakete bestimmt, die Sicherheitsregeln verletzen und daher gelöscht werden. Mit diesen Metriken können Sie Probleme im Zusammenhang mit Sicherheitsregeln beheben und können angeben, ob Ihre VNICs den gewünschten Traffic erhalten.

Wenn Sie Sicherheitslisten und Netzwerksicherheitsgruppen verwenden

Sie können Sicherheitslisten oder Netzwerksicherheitsgruppen jeweils allein oder zusammen verwenden. Dies hängt von Ihren speziellen Sicherheitsanforderungen ab.

Wenn Sie bestimmte Sicherheitsregeln für alle VNICs in einem VCN durchsetzen möchten: Die einfachste Lösung ist, die Regeln in eine Sicherheitsliste aufzunehmen und dann diese Sicherheitsliste mit allen Subnetzen im VCN zu verknüpfen. Auf diese Weise können Sie sicherstellen, dass die Regeln angewendet werden, unabhängig davon, wer in Ihrer Organisation eine VNIC im VCN erstellt. Optional können Sie die Standardsicherheitsliste des VCN verwenden, die zum VCN automatisch dazu gehört und standardmäßig ein Set von wichtigen Regeln enthält.

Wenn Sie Sicherheitslisten und Netzwerksicherheitsgruppen verwenden möchten, ist das Set von Regeln, das für eine bestimmte VNIC gilt, das Bindeglied dieser Elemente:

  • Die Sicherheitsregeln in den Sicherheitslisten, die dem VNIC-Subnetz zugeordnet sind
  • Die Sicherheitsregeln in allen NSGs, in denen die VNIC enthalten ist

Das folgende Diagramm ist eine einfache Darstellung des Konzepts.

Eine VNIC unterliegt den Regeln aller Netzwerksicherheitsgruppen, zu denen sie gehört, sowie aller Sicherheitslisten, die mit dem Subnetz verknüpft sind.

Ein in Frage kommendes Paket ist zulässig, wenn eine beliebige Regel in einer der relevanten Listen und Gruppen den Traffic zulässt (oder wenn der Traffic Teil einer vorhandenen Verbindung ist, die verfolgt wird). Es gibt eine Bedingung, wenn die Listen Regeln sowohl für zustandsbehafteten als auch zustandslosen Traffic enthalten, die denselben Traffic abdecken. Weitere Informationen finden Sie unter Regeln für zustandsbehafteten und zustandslosen Traffic im Vergleich.

Elemente einer Sicherheitsregel

Eine Sicherheitsregel ermöglicht bestimmten Traffictyp in oder aus einer VNIC. Beispiel: Eine gängige Sicherheitsregel ermöglicht den Ingress-Traffic über den TCP-Port 22 zum Herstellen von SSH-Verbindungen zur Instanz (genauer gesagt zu VNICs der Instanz). Ohne Sicherheitsregeln ist kein Traffic in die oder aus den VNICs im VCN zulässig.

Hinweis

Sicherheitsregeln werden für Traffic mit dem CIDR-Block 169.254.0.0/16 nicht erzwungen, wozu Services wie iSCSI und Instanzmetadaten gehören.

Jede Sicherheitsregel gibt die folgenden Elemente an:

  • Richtung (Ingress oder Egress): "Ingress" ist eingehender Traffic zur VNIC, und "Egress" ist ausgehender Traffic von der VNIC. Das REST-API-Modell für Sicherheitslisten unterscheidet sich von den Netzwerksicherheitsgruppen. Bei Sicherheitslisten gibt es ein IngressSecurityRule-Objekt und ein separates EgressSecurityRule-Objekt. Bei Netzwerksicherheitsgruppen gibt es nur ein SecurityRule-Objekt, und das direction-Attribut des Objekts bestimmt, ob die Regel für den Ingress- oder Egress-Traffic bestimmt ist.
  • Zustandsbehaftet oder Zustandslos: Bei "Zustandsbehaftet" wird das Verbindungstracking für den Traffic verwendet, der der Regel entspricht. Bei "Zustandslos" wird kein Verbindungstracking verwendet. Siehe Regeln für zustandsbehafteten und zustandslosen Traffic im Vergleich.

  • Quelltyp und Quelle (nur Ingress-Regeln): Die Quelle, die Sie für eine Ingress-Regel angeben, hängt vom gewählten Quelltyp ab.

    Zulässige Quelltypen
    Quelltyp Zulässige Quelle
    CIDR Der CIDR-Block, aus dem der Traffic stammt. Verwenden Sie 0.0.0.0/0, um alle IP-Adressen anzugeben. Das Präfix ist erforderlich (Beispiel: Geben Sie die /32 an, wenn Sie eine einzelne IP-Adresse angeben).
    Netzwerksicherheitsgruppe

    Eine NSG, die sich in demselben VCN wie die NSG dieser Regel befindet.

    Dieser Quelltyp ist nur verfügbar, wenn die Regel zu einer NSG und nicht zu einer Sicherheitsliste gehört.
    Service

    Nur für Pakete, die von einem Oracle-Service über ein Servicegateway eingehen. Wenn kein Servicegateway in Ihrem VCN vorhanden ist, kann Traffic von der öffentlichen IP eines OSN-Endpunkts über ein NAT-Gateway oder ein Internetgateway zu einem VCN geleitet werden. Der Traffic durchläuft weiterhin das OCI-Backbone zum VCN.

    Der Quellservice ist das gewünschte Service-CIDR-Label.

  • Zieltyp und Ziel (nur Egress-Regeln): Das Ziel, das Sie für eine Egress-Regel angeben, hängt von dem gewählten Zieltyp ab.

    Zulässige Zieltypen
    Zieltyp Zulässiges Ziel
    CIDR Der CIDR-Block, für den der Traffic bestimmt ist. Verwenden Sie 0.0.0.0/0, um alle IP-Adressen anzugeben. Das Präfix ist erforderlich (Beispiel: Geben Sie die /32 an, wenn Sie eine einzelne IP-Adresse angeben).
    Netzwerksicherheitsgruppe

    Eine NSG, die sich in demselben VCN wie die NSG dieser Regel befindet.

    Dieser Zieltyp ist nur verfügbar, wenn die Regel zu einer NSG und nicht zu einer Sicherheitsliste gehört.
    Service

    Nur für Pakete, die über ein Servicegateway an einen Oracle-Service (wie zum Beispiel Object Storage) gesendet werden. Wenn kein Servicegateway in Ihrem VCN vorhanden ist, kann Traffic, der für die öffentliche IP eines OSN-Endpunkts bestimmt ist, über ein NAT-Gateway oder ein Internetgateway zum OSN geleitet werden. Durch Routing über ein Servicegateway können Sie auswählen, an welche Oracle Services Network-(OSN-)Endpunkte Sie den Traffic weiterleiten möchten (wählen Sie Nur Object Storage oder Alle Services aus).

    Der Zielservice ist das gewünschte das OSN-Service-CIDR-Label.
  • IP-Protokoll: Entweder ein einzelnes IPv4-Protokoll oder "Alle" zur Abdeckung aller Protokolle.
  • Quellport: Der Port, von dem der Traffic stammt. Bei TCP oder UDP können Sie alle Quellports, optional eine einzelne Quellportnummer oder einen Bereich angeben.
  • Zielport: Der Port, für den der Traffic bestimmt ist. Bei TCP oder UDP können Sie alle Zielports, optional eine einzelne Zielportnummer oder einen Bereich angeben.
  • ICMP-Typ und -Code: Bei ICMP können Sie alle Typen und Codes oder optional einen einzelnen ICMP-Typ mit einem optionalen Code angeben. Wenn der Typ über mehrere Codes verfügt, erstellen Sie eine separate Regel für jeden Code, den Sie zulassen möchten.
  • Beschreibung (nur NSG-Regeln): NSG-Sicherheitsregeln enthalten ein optionales Attribut, in dem Sie eine benutzerfreundliche Beschreibung der Regel angeben können. Dies wird derzeit für Sicherheitslistenregeln nicht unterstützt.

Beispiele zu Sicherheitsregeln finden Sie unter Netzwerkszenarios.

Den Grenzwert für die Anzahl der Regeln, die Sie verwenden können, finden Sie unter Sicherheitslisten und Netzwerksicherheitsgruppen im Vergleich.

Hinweis

Wenn Sie NSGs verwenden und zwei VNICs in demselben VCN mit ihren öffentlichen IP-Adressen kommunizieren müssen, müssen Sie die öffentliche IP-Adresse der VNIC und nicht die NSG der VNIC als Quelle (für Ingress) oder Ziel (für Egress) in den relevanten Sicherheitsregeln verwenden. Das Paket wird an das Internetgateway des VCN weitergeleitet, und an diesem Punkt sind die NSG-Informationen der VNIC nicht verfügbar. Daher ist eine Sicherheitsregel, die die NSG als Quelle oder Ziel angibt, bei der Zulassung dieses spezifischen Traffictyps unwirksam.

Regeln für zustandsbehafteten und zustandslosen Traffic im Vergleich

Wenn Sie eine Sicherheitsregel erstellen, wählen Sie aus, ob es sich um eine Regel für zustandsbehafteten oder zustandslosen Traffic handelt. Der Unterschied wird in den nächsten Abschnitten beschrieben. Der Standard lautet "Zustandsbehaftet". Regeln für zustandslosen Traffic werden empfohlen, wenn Sie über eine internetbasierte High-Volume-Website verfügen (für den HTTP-/HTTPS-Traffic).

In diesem Abschnitt werden die Compute-Instanzen und deren Traffic beschrieben. Die Diskussion gilt jedoch für alle Ressourcentypen mit VNICs. Siehe Vergleich von Sicherheitslisten und Netzwerksicherheitsgruppen.

Regeln für zustandsbehafteten Traffic

Wenn Sie mit der Markierung festlegen, dass eine Sicherheitsregel für zustandsbehafteten Traffic bestimmt ist, bedeutet dies, dass Sie das Verbindungstracking für jeden Traffic verwenden möchten, der dieser Regel entspricht. Wenn eine Instanz Traffic empfängt, der der Regel für zustandsbehafteten Ingress entspricht, wird die Antwort verfolgt und die Rücksendung an den ursprünglichen Host automatisch zugelassen, unabhängig von Egress-Regeln, die für die Instanz gelten. Wenn eine Instanz Traffic sendet, der einer Regel für zustandsbehafteten Egress entspricht, wird die eingehende Antwort automatisch zugelassen, unabhängig von den Ingress-Regeln.

Beispiel: Möglicherweise haben Sie eine Sicherheitsregel für zustandsbehafteten Ingress für eine Instanz (Instanz A), die HTTP-Traffic von Host B empfangen und beantworten muss. Host B kann ein beliebiger Host sein, unabhängig davon, ob es sich um eine Instanz handelt. Instanz A und Host B kommunizieren, weil die Regel für zustandsbehafteten Ingress Traffic von allen Quell-IP-Adressen (0.0.0.0/0) nur an den Zielport 80 (TCP-Protokoll) zulässt. Es ist keine Egress-Regel erforderlich, um den Antworttraffic zu ermöglichen, weil Antworten automatisch verfolgt und zugelassen werden.

Regel für zustandsbehafteten Ingress, die eingehenden HTTP-Traffic und -Antworten zulässt
Hinweis

Zustandsbehaftete Regeln speichern Informationen in einer Verbindungstrackingtabelle auf jeder Compute-Instanz. Die Größe dieser Tabelle ist spezifisch für die verwendete Compute-Ausprägung (siehe Seite "Servicelimits" für Verbindungstracking). Wenn die Verbindungstrackingtabelle voll ist, können keine neuen Statusinformationen hinzugefügt werden, und bei neuen Verbindungen kommt es zu einem Paketverlust. Wenn Sie eine größere Compute-Ausprägung verwenden, können Sie eine größere Tabelle verwenden. Dies reicht jedoch möglicherweise nicht aus, um einen Paketverlust bei Verwendung zustandsbehafteter Regeln zu verhindern.

Wenn Ihr Subnetz ein hohes Trafficvolumen aufweist, empfiehlt Oracle, zustandslose Regeln anstelle von zustandsbehafteten Regeln zu verwenden.

Regeln für zustandslosen Traffic

Wenn Sie mit der Markierung festlegen, dass eine Sicherheitsregel für zustandslosen Traffic bestimmt ist, bedeutet dies, dass Sie das Verbindungstracking für jeden Traffic verwenden möchten, der dieser Regel entspricht. Das bedeutet, dass der Antworttraffic nicht automatisch zugelassen wird. Um den Antworttraffic für eine Regel für zustandslosen Ingress zuzulassen, müssen Sie eine entsprechende Regel für zustandslosen Egress erstellen.

In der nächsten Abbildung werden Instanz A und Host B wie zuvor dargestellt, allerdings jetzt mit Sicherheitsegeln für zustandslosen Traffic. Wie bei der Regel für zustandsbehafteten Traffic im vorherigen Abschnitt, lässt die Regel für zustandslosen Ingress Traffic von allen IP-Adressen und Ports nur auf dem Zielport 80 (mit dem TCP-Protokoll) zu. Um den Antworttraffic zuzulassen, muss eine entsprechende Regel für zustandslosen Egress vorhanden sein, die den Traffic zu einer beliebigen Ziel-IP-Adresse (0.0.0.0/0) und allen Ports nur vom Quellport 80 (mit dem TCP-Protokoll) zulässt.

Regeln für zustandslosen Ingress und Egress, die eingehenden HTTP-Traffic und -Antworten zulassen

Wenn Instanz A stattdessen HTTP-Traffic initiieren und die Antwort abrufen muss, ist ein anderes Set von Regeln für zustandslosen Traffic erforderlich. Wie in der nächsten Abbildung dargestellt, würde in der Egress-Regel als Quellport "Alle" und als Zielport "80 (HTTP)" angegeben sein. In der Ingress-Regel würde dann als Quellport "80" und als Zielport "Alle" angegeben sein.

Regeln für zustandslosen Ingress und Egress, mit denen die Instanz HTTP-Traffic initiieren und Antworten abrufen kann

Wenn Sie für Instanz A das Port-Binding verwenden, um genau anzugeben, von welchem Port der HTTP-Traffic stammt, können Sie dies als Quellport in der Egress-Regel und als Zielport in der Ingress-Regel angeben.

Hinweis

Wenn Sie aus irgendeinem Grund Regeln für sowohl zustandsbehafteten als auch zustandslosen Traffic verwenden und Traffic vorhanden ist, der sowohl mit einer Regel für zustandsbehafteten als auch einer Regel für zustandslosen Traffic in einer bestimmten Richtung übereinstimmt (Beispiel: Ingress), hat die Regel für zustandslosen Traffic Vorrang, und die Verbindung wird nicht verfolgt. Sie benötigen eine entsprechende Regel in der anderen Richtung (Beispiel: Egress, zustandslos oder zustandsbehaftet), damit der Antworttraffic zugelassen wird.

Verbindungstrackingdetails für Regeln für zustandsbehafteten Traffic

Oracle verwendet Verbindungstracking, um Antworten für Traffic zuzulassen, der mit Regeln für zustandsbehafteten Traffic übereinstimmt (siehe Regeln für zustandsbehafteten und zustandslosen Traffic im Vergleich). Jede Instanz hat eine maximale Anzahl gleichzeitiger Verbindungen, die basierend auf der Ausprägung der Instanz überwacht werden können.

Um den Antwortverkehr für TCP, UDP und ICMP zu bestimmen, führt Oracle Verbindungstracking für die folgenden Elemente des Pakets durch:

  • Protokoll
  • Quell- und Ziel-IP-Adressen
  • Quell- und Zielports (nur für TCP und UDP)
Hinweis

Bei anderen Protokollen verfolgt Oracle nur das Protokoll und die IP-Adressen, aber nicht die Ports. Wenn eine Instanz Traffic an einen anderen Host initiiert und dieser Traffic durch Egress-Sicherheitsregeln zugelassen wird, wird der gesamte Traffic, den die Instanz eine bestimmte Zeit lang später von diesem Host empfängt, als Antworttraffic betrachtet und zugelassen.

Verfolgte Verbindungen werden aufrechterhalten, solange der Traffic für die Verbindung empfangen wird. Wenn eine Verbindung längere Zeit ungenutzt bleibt, wird sie wegen Timeout abgebrochen und entfernt. Nach dem Entfernen werden die Antworten für eine zustandsbehaftete Sicherheitsregel verworfen. In der folgenden Tabelle sind die standardmäßigen Inaktivitätstimeouts aufgeführt:

Inaktivitätstimeout
Protokoll Status Inaktivitätstimeout
TCP Eingerichtet 1 Tag
TCP Setup 1 Minute
TCP Schließung 2 Minuten
UDP Eingerichtet (dies bedeutet, dass ein Paket in beide Richtungen empfangen wurde) 3 Minuten
UDP Nicht eingerichtet (Paket nur in einer Richtung empfangen) 30 Sekunden
ICMP N/V 15 Sekunden
Sonstige N/V 5 Minuten

PMTUD-Nachrichten für Regeln für zustandslosen Traffic aktivieren

Wenn Sie Sicherheitsregeln für zustandslosen Traffic verwenden, um Traffic an/von Endpunkten außerhalb des VCN zuzulassen, muss unbedingt eine Sicherheitsregel hinzugefügt werden, die Ingress-ICMP-Traffic vom Typ 3 Code 4 von 0.0.0.0/0 und allen Quellports zulässt. Mit dieser Regel können Ihre Instanzen Path MTU Discovery-Fragmentierungsmeldungen erhalten. Diese Regel ist für den Aufbau einer Verbindung zu Ihren Instanzen von entscheidender Bedeutung. Ohne sie können Konnektivitätsprobleme auftreten. Weitere Informationen finden Sie unter Hängende Verbindung.

Regeln zum Aktivieren von Ping

Die Standardsicherheitsliste des VCN enthält mehrere Standardregeln, von denen jedoch keine Ping-Anforderungen zulässt. Wenn Sie eine Instanz pingen möchten, stellen Sie sicher, dass die anwendbaren Sicherheitslisten oder NSGs der Instanz eine zusätzliche Regel für zustandsbehafteten Ingress enthalten, mit der speziell ICMP-Traffic vom Typ 8 vom Quellnetzwerk zugelassen wird, von dem aus gepingt werden soll. Um den Ping-Zugriff vom Internet aus zu ermöglichen, verwenden Sie 0.0.0.0/0 als Quelle. Beachten Sie, dass sich diese Regel für das Pingen von den ICMP-bezogenen Standardregeln der Standardsicherheitsliste unterscheidet. Diese Regeln dürfen nicht entfernt werden.

Regeln zur Verarbeitung von fragmentierten UDP-Paketen

Instanzen können UDP-Verkehr senden oder empfangen. Wenn ein UDP-Paket zu groß für die Verbindung ist, wird es fragmentiert. Allerdings enthält nur das erste Fragment aus dem Paket die Protokoll- und Portinformationen. Wenn die Sicherheitsregeln, die diesen Ingress- oder Egress-Traffic zulassen, eine bestimmte Portnummer (Quelle oder Ziel) angeben, werden die Fragmente nach dem ersten gelöscht. Wenn Sie erwarten, dass Ihre Instanzen große UDP-Pakete senden oder empfangen, setzen Sie sowohl die Quell- als auch die Zielports für die entsprechenden Sicherheitsregeln auf ALLE (anstatt einer bestimmten Portnummer).