Oracle Cloud Infrastructure-Dokumentation

Sicherheitszonen-Policys

Wenn Sie Ressourcen in einer Sicherheitszone erstellen und aktualisieren, validiert Oracle Cloud Infrastructure diese Vorgänge anhand der Policys in der Sicherheitszone. Bei einem Verstoß gegen eine Policy wird der Vorgang abgelehnt.

Wenn Sie eine Sicherheitszone erstellen, weisen Sie ihr ein Rezept zu. Hierbei handelt es sich um eine Sammlung von Sicherheitszonen-Policys.

Ihr Mandant verfügt über ein vordefiniertes Rezept namens Maximum Security Recipe, das eine Reihe kuratierter Sicherheitszonen-Policys enthält. Oracle verwaltet dieses Rezept, und es kann nicht geändert werden. Sie können jedoch eigene Rezepte entsprechend Ihren spezifischen Sicherheitsanforderungen erstellen.

Security Zones kategorisiert Policys nach Sicherheitsgrundsatz, wie z.B. Ressourcenverschiebung einschränken. Jede Policy wirkt sich auf mindestens eine Cloud-Ressource wie Compute-, Networking-, Object Storage- und Datenbankressourcen aus.

Hinweis

Datenbank-Policys gelten nicht für Oracle Exadata Cloud@Customer.
Hinweis

Compute-Management-Policys gelten für Instanzkonfigurationen und Instanzpools. Siehe Instanzkonfigurationen und Instanzpools verwenden.

Ressourcenverschiebung einschränken

Um die Datenintegrität zu gewährleisten, können bestimmte Ressourcen in einer Sicherheitszone nicht zu einem Compartment außerhalb der Sicherheitszone verschoben werden, da es möglicherweise weniger sicher sein kann. Sie können eine vorhandene Ressource auch nicht in ein Compartment in einer Sicherheitszone verschieben, wenn alle Policys in der Sicherheitszonen erfüllt sind.

In der folgenden Tabelle werden die Sicherheitszonen-Policys  beschrieben, die das Verschieben von Ressourcen einschränken.

Policy Ressourcentypen Beschreibung
deny attached_boot_volume_​not_in_security_zone_move_to_​compartment_in_security_zone Blockspeicher Sie können kein zugeordnetes Boot-Volume , das sich nicht innerhalb einer Sicherheitszone befindet, in ein Compartment in einer Sicherheitszone verschieben.
deny block_volume_in_security_zone_​move_to_compartment_​not_in_security_zone Blockspeicher Sie können kein Block-Volume in der Sicherheitszone in ein Compartment verschieben, das nicht sich in derselben Sicherheitszone befindet.
deny boot_volume_in_security_zone_​move_to_compartment_​not_in_security_zone Blockspeicher Sie können kein Boot-Volume in die Sicherheitszone in ein Compartment verschieben, das nicht sich in derselben Sicherheitszone befindet.
deny instance_in_security_zone_​move_to_compartment_​not_in_security_zone Compute Sie können eine Instanz in der Sicherheitszone nicht in ein Compartment verschieben, das nicht in derselben Sicherheitszone befindet.
deny instance_not_in_security_​zone_move_to_compartment_​in_security_zone Compute Sie können eine Instanz nicht aus einem Compartment, das sich nicht innerhalb derselben Sicherheitszone befindet, in die Sicherheitszone verschieben.
deny db_instance_move_to_​compartment_not_in_​security_zone Database (alle Typen) Eine Datenbank in der Sicherheitszone kann nicht in ein Compartment verschoben werden, das sich nicht in derselben Sicherheitszone befindet.
deny database_with_dataguard_​association_move_to_​compartment_in_security_zone Datenbank (Bare-Metal- und VM-DB-Systeme, Exadata-DB-Systeme) Sie können eine Datenbank nicht in die Sicherheitszone verschieben, wenn sich ihre Data Guard-Verknüpfung nicht in derselben Sicherheitszone befindet.
deny file_system_in_security_​zone_move_to_compartment_​not_in_security_zone Dateispeicher Ein Dateisystem in der Sicherheitszone kann nicht in ein Compartment verschoben werden, das sich nicht in derselben Sicherheitszone befindet.
deny mount_target_in_security_​zone_move_to_compartment_​not_in_security_zone Dateispeicher Sie können ein Mountziel (File Storage) in der Sicherheitszone nicht in ein Compartment verschieben, das Sich nicht in derselben Sicherheitszone befindet.
deny bucket_in_security_zone_​move_to_compartment_​not_in_security_zone Object Storage Sie können einen Bucket in der Sicherheitszone nicht in ein Compartment verschieben, das nicht in derselben Sicherheitszone enthalten ist.
deny LPG_gateway VCN Sie können kein lokales Peering-Gateway zu einem VCN in der Sicherheitszone hinzufügen, und Sie können kein lokales Peering-Gateway in die Sicherheitszone verschieben.
deny subnet_in_security_zone_​move_to_compartment_​not_in_security_zone VCN Sie können ein Subnetz in der Sicherheitszone nicht in ein Compartment verschieben, das Sich nicht in derselben Sicherheitszone befindet.

Ressourcenverknüpfung einschränken

Alle erforderlichen Komponenten für eine Ressource in einer Sicherheitszone müssen sich ebenfalls in derselben Sicherheitszone befinden. Ressourcen, die sich Nicht in einer Sicherheitszone befinden, können anfällig sein, und Ressourcen in einer anderen Sicherheitszone können einen niedrigeren Sicherheitsstatus aufweisen.

In der folgenden Tabelle werden die Sicherheitszonen-Policys  beschrieben, die die Ressourcenverknüpfung einschränken.

Policy Ressourcentypen Beschreibung
deny attached_block_volume_not_​in_security_zone_move_to_​compartment_in_security_zone Blockspeicher Sie können ein Block-Volume nicht an die Sicherheitszone verschieben, wenn es an eine Computing-Instanz angehängt ist, die sich nicht In derselben Sicherheitszone befindet.
deny block_volume_in_security_​zone_attach_to_instance_​not_in_security_zone Compute Sie können ein Blockspeicher-Volume in der Sicherheitszone nicht an eine Compute Instanz anhängen, die sich nicht in derselben Sicherheitszone befindet.
deny block_volume_not_in_security_​zone_attach_to_instance_​in_security_zone Compute Sie können ein Blockspeicher-Volume nicht an eine Compute Instanz in der Sicherheitszone anhängen, wenn sich das Volume nicht in derselben Sicherheitszone befindet.
deny boot_volume_not_in_security_​zone_attach_to_instance_​in_security_zone Compute Sie können ein Boot-Volume nicht an eine Compute Instanz in der Sicherheitszone anhängen, wenn sich das Volume nicht in derselben Sicherheitszone befindet.
deny boot_volume_in_security_​zone_attach_to_instance_​not_in_security_zone Compute Sie können ein Boot-Volume in der Sicherheitszone nicht an eine Compute Instanz anhängen, die sich nicht in derselben Sicherheitszone befindet.
deny instance_in_security_zone_​launch_from_boot_volume_​not_in_security_zone Compute, Compute-Management Sie können eine Compute Instanz nicht in der Sicherheitszone starten, wenn sich das Boot-Volume nicht in derselben Sicherheitszone befindet.
deny instance_not_in_security_​zone_launch_from_boot_​volume_in_security_zone Compute, Compute-Management Sie können eine Compute Instanz nicht mithilfe eines Boot-Volumes in der Sicherheitszone starten, wenn sich die Instanz nicht in derselben Sicherheitszone befindet.
deny instance_in_security_zone_​in_subnet_not_in_security_​zone Compute, Compute-Management Eine Compute Instanz in der Sicherheitszone kann kein Subnetz verwenden, das sich nicht in derselben Sicherheitszone befindet.
deny dataguard_association_​with_db_instances_not_in_​security_zones Datenbank (Bare-Metal- und VM-DB-Systeme, Exadata-DB-Systeme) Eine Datenbank in der Sicherheitszone kann keine Data Guard-Verknüpfung mit einer anderen Datenbank (primär/Standby) haben, wenn sie sich nicht in derselben Sicherheitszone befindet.
deny db_instance_subnet_not_​in_security_zone Database (alle Typen) Eine Datenbank in der Sicherheitszone kann kein Subnetz  verwenden, das sich nicht in derselben Sicherheitszone befindet.
deny db_resource_association_​not_in_security_zone Database (Exadata-DB-Systeme)

Exadata-Infrastrukturressourcen in einer Sicherheitszone können nicht mit Containerdatenbanken oder VM-Clustern verknüpft werden, die sich nicht in derselben Sicherheitszone befinden.
deny mount_target_in_security_zone_​created_with_subnet_​not_in_security_zone Dateispeicher Ein Mountziel (File Storage)  in der Sicherheitszone kann kein Subnetz  verwenden, das sich nicht in derselben Sicherheitszone befindet.
deny mount_target_not_in_security_zone_​create_with_subnet_​in_security_zone Dateispeicher Sie können kein Mountziel (File Storage)  erstellen, das ein Subnetz  in einer Sicherheitszone verwendet, wenn sich das Mountziel nicht in derselben Sicherheitszone befindet.
deny file_system_in_security_zone_​export_via_mount_target_​not_in_security_zone Dateispeicher Sie können ein Dateisystem  in der Sicherheitszone nicht über ein Mountziel (File Storage)  exportieren, das sich nicht in derselben Sicherheitszone befindet.
deny file_system_not_in_security_zone_​export_via_mount_target_​in_security_zone Dateispeicher Sie können ein Dateisystem  nicht über ein Mountziel (File Storage)  exportieren, wenn sich das Dateisystem nicht in derselben Sicherheitszone befindet.

Öffentlichen Zugriff verweigern

Ressourcen in einer Sicherheitszone dürfen nicht über das öffentliche Internet zugänglich sein.

Wenn Sie ein privates Subnetz erstellen, können in diesem Subsystem gestartete Compute Instanzen keine öffentlichen IP-Adressen haben. Diese Einschränkung stellt sicher, dass Computing-Instanzen im Subnetz keinen Internetzugriff haben. Für Compute-Instanzen in einem privaten Subnetz ermöglicht ein Servicegateway den privaten Zugriff auf öffentliche Services wie Object Storage. Siehe Überblick über Networking.

In der folgenden Tabelle werden die Sicherheitszonen-Policys  beschrieben, die den Netzwerkzugriff einschränken.

Policy Ressourcentypen Beschreibung
deny cloud_shell_public_network Cloud Shell Cloud Shell-Hosts in einer Sicherheitszone können keinen öffentlichen Netzwerkzugriff haben.
deny db_instance_public_​access Database (alle Typen) Datenbanken in der Sicherheitszone können öffentlichen Subnetzen nicht zugewiesen werden. Sie müssen private Subnetze verwenden.
deny public_load_balancer Load Balancer Load Balancer in einer Sicherheitszone können nicht öffentlich sein. Alle Load Balancer müssen privat sein.
deny public_buckets Object Storage Object Storage-Buckets  in der Sicherheitszone können nicht öffentlich sein.
deny DRG_gateway VCN Sie können kein DRG (dynamisches Routinggateway) zu einem VCN in der Sicherheitszone hinzufügen.
deny internet_gateway VCN Sie können einem VCN (virtuelles Cloud-Netzwerk)  innerhalb der Sicherheitszone kein Internetgateway  hinzufügen.
deny LPG_gateway VCN Sie können kein lokales Peering-Gateway zu einem VCN in der Sicherheitszone hinzufügen, und Sie können kein lokales Peering-Gateway in die Sicherheitszone verschieben.
deny NAT_gateway VCN Sie können kein NAT-(Netzwerkadressübersetzungs-)Gateway zu einem VCN in der Sicherheitszone hinzufügen.
deny SGW_gateway VCN Sie können kein SGW (Secure Gateway) zu einem VCN in der Sicherheitszone hinzufügen.
deny public_subnets VCN Subnetze in der Sicherheitszone können nicht öffentlich sein. Sie müssen privat sein.

Verschlüsselung erfordern

Ressourcen in einer Sicherheitszone müssen mit vom Kunden verwalteten Schlüsseln verschlüsselt werden. Daten müssen bei der Übertragung und im Ruhezustand verschlüsselt sein.

Mit Oracle Cloud Infrastructure Vault können Sie die Masterverschlüsselungsschlüssel verwalten, die Daten schützen, und Die Secret-Zugangsdaten, mit denen Sie sicher auf Ressourcen zugreifen. Sie können Verschlüsselungsschlüssel auch regelmäßig rotieren.

Viele Services lassen sich zur Verschlüsselung mit dem Vault-Service integrieren, einschließlich Object Storage und Block Volume.

In der folgenden Tabelle werden die Sicherheitszonen-Policys  beschrieben, die eine Verschlüsselung durchsetzen.

Policy Ressourcentypen Beschreibung
deny block_volume_without_​vault_key Blockspeicher Block-Volumes in der Sicherheitszone müssen einen von Kunden verwalteten Masterverschlüsselungsschlüssel im Vault-Service verwenden. Sie können den von Oracle verwalteten Standardverschlüsselungsschlüssel nicht verwenden.
deny boot_volume_without_​vault_key Blockspeicher Boot-Volumes in der Sicherheitszone müssen einen von Kunden verwalteten Masterverschlüsselungsschlüssel im Vault-Service verwenden. Sie können den von Oracle verwalteten Standardverschlüsselungsschlüssel nicht verwenden.
deny file_system_without_vault_​key Dateispeicher Dateisysteme in der Sicherheitszone müssen einen von Kunden verwalteten Masterverschlüsselungsschlüssel im Vault-Service verwenden. Sie können den von Oracle verwalteten Standardverschlüsselungsschlüssel nicht verwenden.
deny buckets_without_vault_key Object Storage Object Storage-Buckets in der Sicherheitszone müssen einen von Kunden verwalteten Masterverschlüsselungsschlüssel im Vault-Service verwenden. Sie können den von Oracle verwalteten Standardverschlüsselungsschlüssel nicht verwenden.

Datendauerhaftigkeit sicherstellen

Automatische Backups müssen regelmäßig für Ressourcen in einer Sicherheitszone durchgeführt werden.

In der folgenden Tabelle wird die Sicherheitszonen-Policy  beschrieben, die Datendauerhaftigkeit durchsetzt.

Policy Ressourcentypen Beschreibung
deny database_without_backup Datenbank (Bare-Metal- und VM-DB-Systeme, Exadata-DB-Systeme)

Datenbanken in der Sicherheitszone müssen für automatische Backups konfiguriert werden.

Siehe Datenbankbackup und -Recovery.

Datensicherheit sicherstellen

Daten in einer Sicherheitszone werden als privilegiert betrachtet und können nicht außerhalb der Sicherheitszone kopiert werden.

In der folgenden Tabelle werden die Sicherheitszonen-Policys beschrieben, die Datensicherheit durchsetzen.

Policy Ressourcentypen Beschreibung
deny database_not_in_security_​zone_create_from_backup_​in_security_zone Datenbank (Bare-Metal- und VM-DB-Systeme, Exadata-DB-Systeme) Sie können ein Datenbankbackup in der Sicherheitszone nicht verwenden, um eine Datenbank zu erstellen, die sich nicht in derselben Sicherheitszone befindet.
deny database_in_security_​zone_create_clone_not_​in_security_zone Database (VM-DB-Systeme, Autonomous Database) Sie können eine Datenbank in der Sicherheitszone nicht klonen, um eine Datenbank zu erstellen, die sich nicht in derselben Sicherheitszone befindet.
deny file_system_in_security_zone_​clone_to_compartment_​not_in_security_zone Dateispeicher Sie können ein Dateisystem  in der Sicherheitszone nicht klonen, um ein Dateisystem zu erstellen, das sich nicht in derselben Sicherheitszone befindet.

Nur von Oracle genehmigte Konfigurationen verwenden

Oracle erfordert, dass bestimmte Sicherheitsfeatures für die Ressourcen innerhalb einer Sicherheitszone aktiviert und konfiguriert sind. Ein Beispiel ist die BS-Konfiguration für eine Compute-Instanz (Compute) .

In der folgenden Tabelle werden die Sicherheitszonen-Policys beschrieben, die von Oracle genehmigte Konfigurationen erfordern.

Policy Ressourcentypen Policy-Beschreibung
deny manage_bastion_resource Bastion Sie können keine Bastion in der Sicherheitszone erstellen oder ändern.
deny detach_volume Blockspeicher Sie können ein Volume in der Sicherheitszone nicht trennen.
deny manage_compute_and_block_storage_resource Blockspeicher, Compute,

Sie können keine der folgenden Aktionen zum Berechnen von Ressourcen in der Sicherheitszone ausführen:

  • Instanz erstellen
  • Volume an eine Instanz anhängen
  • Boot-Volumes an eine Instanz anhängen
  • Instanz in ein anderes Compartment verschieben
  • Sofort aktualisieren
  • Bestimmte Power-Aktionen für eine Instanz ausführen
  • VNIC an eine Instanz anhängen
  • Dedizierten VM-Host erstellen
  • Compartment für eine dedizierte VM ändern
  • Dedizierten VM-Host aktualisieren
  • Dedizierten VM-Host löschen
  • Konsolenverbindung zu einer Instanz herstellen
  • Konsolenverbindung zu einer Instanz aktualisieren
  • Konsolenverbindung zu einer Instanz löschen
  • Compute-Kapazitätsreservierung erstellen
  • Compute-Kapazitätsreservierung aktualisieren
  • Compute-Kapazitätsreservierung löschen
  • Compute-Kapazitätsreservierung in ein anderes Compartment verschieben
  • Erstellen einer Instanzkonfiguration
  • Instanz aus einer Instanzkonfiguration erstellen
  • Instanzpool erstellen
  • Instanzpool starten
  • Clusternetzwerk erstellen

Sie können keine der folgenden Aktionen für Block Storage-Ressourcen in der Sicherheitszone ausführen:

  • Volume erstellen
  • Datenträger löschen
  • Volumes in ein anderes Compartment verschieben
  • Volume-KMS-Schlüssel löschen
  • Volume-Backup erstellen
  • Volume-Backup löschen
  • Volume-Backup in ein anderes Compartment verschieben
  • Volume-Backup-Policy erstellen
  • Volume-Backup-Policy löschen
  • Volume-Gruppenbackup erstellen
  • Volume-Gruppenbackup löschen
  • Volume-Gruppenbackup in ein anderes Compartment verschieben
  • Boot-Volume erstellen
  • Boot-Volume löschen
  • Boot-Volume in ein anderes Compartment verschieben
  • Boot-Volume-KMS-Schlüssel löschen
  • Boot-Volume-Backups erstellen
  • Boot-Volume-Backups löschen
  • Boot-Volume-Backups kopieren
  • Boot-Volume-Backup in ein anderes Compartment verschieben
  • Volume-Gruppe erstellen
  • Volume-Gruppe löschen
  • Volume-Gruppe in ein anderes Compartment verschoben
deny manage_image_resource Compute Sie können keine der folgenden Aktionen für ein Abbild in der Sicherheitszone ausführen:
  • Bild erstellen
  • Abbild aktualisieren
  • Löscht ein Image
  • Images in ein anderes Compartment verschieben
deny terminate_instance Compute Sie können keine Instanz in der Sicherheitszone löschen.
deny instance_without_​sanctioned_image Compute, Compute-Management

Sie müssen eine Instanz in der Sicherheitszone mit einem Plattformimage erstellen.

Aus einem benutzerdefinierten Image können Sie keine Compute-Instanz in der Sicherheitszone erstellen.
deny delete_certificate_authority Zertifikatverwaltung Sie können keine Certificate Authority in der Sicherheitszone löschen.
deny revoke_certificate_authority_version Zertifikatverwaltung Ein Zwischenzertifikat in einem Certificate Authority-(CA-)Bundle in der Sicherheitszone kann nicht widerrufen werden.
deny free_database_creation Database (alle Typen) Sie können in der Sicherheitszone keine Datenbankinstanz vom Typ "Immer kostenlos" erstellen.
deny manage_file_storage_resource Dateispeicher Sie können keine Dateispeicherressource in der Sicherheitszone erstellen oder ändern.
deny manage_oke_service Kubernetes Engine Sie können keine der folgenden Aktionen für OKE-Ressourcen in der Sicherheitszone ausführen:
  • Cluster erstellen
  • Cluster updaten
  • Cluster entfernen
  • Kubernetes-Konfiguration erstellen
  • Clusterendpunktkonfiguration aktualisieren
  • Knotenpool erstellen
  • Knotenpools aktualisieren
  • Knotenpools löschen
delete_all_load_balancer_back_end_sets ablehnen Load Balancer Sie können Load-Balancer-Backend-Sets in der Sicherheitszone nicht löschen.
deny load_balancer_with_weak_SSL_communication Load Balancer Die SSL-Policy für einen Load Balancer Listener in der Sicherheitszone muss TLS 1.2 oder höher verwenden.
deny security_list_to_allow_traffic_to_restricted_port VCN Sie können keine Sicherheitsliste erstellen oder ändern, um Traffic zu ungesicherten Ports in der Sicherheitszone zuzulassen.
deny delete_network_security_group VCN Sie können keine VCN-Netzwerksicherheitsgruppe in der Sicherheitszone löschen.
deny network_security_group_with_unsecure_ingress_rule VCN Sie können keine Netzwerksicherheitsgruppe mit einer Regel hinzufügen, die Ingress zu ungesicherten Ports oder IP-Adressen in der Sicherheitszone zulässt.
deny delete_vcn VCN Sie können kein VCN in der Sicherheitszone löschen.
deny update_route_table VCN Sie können eine VCN-Routentabelle in der Sicherheitszone nicht aktualisieren.
deny update_network_security_group_ingress_rule VCN Sie können die Ingress-Regeln einer Netzwerksicherheitsgruppe in der Sicherheitszone nicht ändern.
deny update_network_security_group_egress_rule VCN Sie können die Egress-Regeln einer Netzwerksicherheitsgruppe in der Sicherheitszone nicht ändern.
deny delete_vcn_security_list VCN Sie können keine VCN-Sicherheitsliste in der Sicherheitszone löschen.
deny update_vcn_security_list_ingress_rules VCN Sie können Ingress-Sicherheitsregeln der VCN-Sicherheitsliste in der Sicherheitszone nicht ändern.
deny update_vcn_security_list_egress_rules VCN Sie können Ingress-Sicherheitsregeln der VCN-Sicherheitsliste in der Sicherheitszone nicht ändern.
deny update_DHCP_options VCN Sie können DHCP-Optionen in der Sicherheitszone nicht aktualisieren.
deny update_local_peering_gateway VCN Sie können kein lokales Peering-Gateway in der Sicherheitszone aktualisieren.
deny create_or_modify_vcn_security_list VCN Sie können keine VCN-Sicherheitsliste in der Sicherheitszone erstellen oder ändern.
deny manage_DNS_resource VCN Sie können keine der folgenden Aktionen für eine DNS-Ressource in der Sicherheitszone ausführen:
  • Resolver aktualisieren
  • Resolver-Endpunkt aktualisieren
  • TSIG-Schlüssel erzeugen
deny manage_virtual_network_resource VCN Sie können keine der folgenden Aktionen für virtuelle Netzwerkressourcen in der Sicherheitszone ausführen:
  • VPN
    • Crossconnect erstellen
    • Crossconnect aktualisieren
    • Crossconnect löschen
    • Crossconnect in ein anderes Compartment verschieben
    • Crossconnect-Gruppe erstellen
    • Crossconnect-Gruppe aktualisieren
    • Crossconnect-Gruppe löschen
    • Crossconnect-Gruppe in ein anderes Compartment verschieben
  • NAT-Gateway
    • DRG löschen
    • NAT-Gateway löschen
  • Virtuelles Netzwerk (VCN)
    • VCN erstellen
    • VCN aktualisieren
    • VCN in ein anderes Compartment verschoben
    • Subnetz erstellen
    • Subnetz aktualisieren
    • Subnet löschen
    • Subnetz in ein anderes Compartment verschoben
    • Internetgateway löschen
    • Öffentliche IP erstellen
    • Öffentliche IP löschen
    • Öffentliche IP in ein anderes Compartment verschieben
    • Lokales Peering-Gateway löschen
  • Netzwerkansicht
    • Subnetztopologie abrufen
    • VCN-Topologie abrufen
deny manage_vcn_route_tables VCN Sie können keine der folgenden Aktionen für eine VCN-Routentabellenressource in der Sicherheitszone ausführen:
  • Routentabelle erstellen
  • Routentabelle aktualisieren
  • Routentabelle löschen
  • Routentabelle in ein anderes Compartment verschieben
deny create_vcn_security_list VCN Sie können keine VCN-Sicherheitsliste in der Sicherheitszone erstellen.
deny manage_DHCP_options_resource VCN Sie können keine der folgenden Aktionen für eine DHCP-Ressource in der Sicherheitszone ausführen:
  • DHCP-Optionen erstellen
  • DHCP-Optionen aktualisieren
  • DHCP-Optionen löschen
deny create_drg VCN Sie können kein DRG (Dynamic Routing Gateway) in der Sicherheitszone erstellen.

Einschränkungen der Sicherheitszonen-Richtlinie für ungesicherte UDP- und TCP-Ports

Die Security Zones-Richtlinie verhindert, dass Sie Sicherheitslisten- oder Netzwerksicherheitsgruppenregeln mit ungesicherten UDP- oder TCT-Ports erstellen.

Wenn die Regel auf dem UDP-Protokoll basiert, werden durch die Security Zones-Richtlinie die folgenden Ports nicht zugelassen:

  • 11
  • 17 bis 19
  • 49
  • 69
  • 80
  • 82
  • 83 bis 85
  • 389
  • 443
  • 656
  • 8.080

Wenn die Regel auf dem TCP-Protokoll basiert, werden durch die Security Zones-Richtlinie die folgenden Ports nicht zugelassen:

  • 11
  • 17 bis 19
  • 21
  • 23 bis 25
  • 43
  • 49
  • 53
  • 70 bis 74
  • 79 bis 81
  • 88
  • 111
  • 123
  • 389
  • 636
  • 445
  • 500
  • 3.306
  • 3.389
  • 5.901
  • 5.985
  • 5.986
  • 7.001
  • 8.000
  • 8.080
  • 8.443
  • 8.888