Oracle Cloud Infrastructure-Dokumentation

Sicherheitslisten

On Compute Cloud@Customer, a security list acts as a virtual firewall for an instance, with ingress and egress rules that specify the types of traffic allowed in and out.

Jede Sicherheitsliste wird auf VNIC-Ebene durchgesetzt. Sie konfigurieren jedoch die Sicherheitslisten auf Subnetzebene. Das bedeutet, dass alle VNICs in einem bestimmten Subnetz demselben Set von Sicherheitslisten unterliegen.

Die Sicherheitslisten gelten für eine bestimmten VNIC, egal ob sie mit einer anderen Instanz im VCN oder einem Host außerhalb des VCN kommunizieren. Jedem Subnetz können mehrere Sicherheitslisten zugeordnet werden, und jeder Liste können mehrere Regeln zugewiesen sein.

Jedes VCN enthält eine Standardsicherheitsliste. Wenn Sie keine benutzerdefinierte Sicherheitsliste für ein Subnetz angeben, wird die Standardsicherheitsliste automatisch mit diesem Subnetz verwendet. Sie können Regeln in der Standardsicherheitslisten hinzufügen und entfernen. Es verfügt über ein anfängliches Set von zustandsbehafteten Regeln, die geändert werden sollten, um nur eingehenden Traffic von autorisierten Subnetzen zuzulassen. Die Standardregeln sind:

  • Zustandsbehafteter Ingress: TCP-Traffic von autorisierten Quell-IP-Adressen und einem beliebigen Quellport auf Zielport 22 (SSH) zulassen.

    Mit dieser Regel können Sie ein neues Cloud-Netzwerk und öffentliches Subnetz erstellen, eine Linux-Instanz erstellen und dann sofort eine SSH-Verbindung zu dieser Instanz herstellen, ohne selbst Sicherheitslistenregeln schreiben zu müssen.

    Die Standardsicherheitsliste umfasst keine Regel für den Remote-Desktop Protocol-(RDP-)Zugriff. Wenn Sie Compute Cloud@Customer-Images verwenden, fügen Sie eine Regel für zustandsbehafteten Ingress für TCP-Traffic an Zielport 3389 von autorisierten Quell-IP-Adressen und jedem beliebigen Quellport hinzu.

  • Zustandsbehafteter Ingress: ICMP-Traffic vom Typ 3 Code 4 von autorisierten Quell-IP-Adressen zulassen.

    Mit dieser Regel können Instanzen Path MTU Discovery-Fragmentierungsmeldungen erhalten.

  • Zustandsbehafteter Ingress: ICMP-Traffic von Typ 3 (alle Codes) vom VCN-CIDR-Block zulassen.

    Mit dieser Regel können Instanzen Konnektivitätsfehlermeldungen von anderen Instanzen im VCN erhalten.

  • Zustandsbehafteter Egress: Jeden Traffic zulassen.

    Dadurch können Instanzen den Traffic jeder Art zu jedem Ziel initiieren. Dies bedeutet, dass Instanzen mit öffentlichen IP-Adressen über jede beliebige Internet-IP-Adresse sprechen können, wenn für das VCN ein Internetgateway konfiguriert ist. Da Sicherheitsregeln für zustandsbehafteten Traffic Verbindungstracking verwenden, wird der Antworttraffic unabhängig von Ingress-Regeln automatisch zugelassen.

Der allgemeine Prozess zum Arbeiten mit Sicherheitslisten sieht wie folgt aus:

  1. Erstellen einer Sicherheitsliste.

  2. Fügen Sie der Sicherheitsliste Sicherheitsregeln hinzu.

  3. Verknüpfen Sie die Sicherheitsliste mit einem oder mehreren Subnetzen.

  4. Erstellen Sie Ressourcen wie Compute-Instanzen im Subnetz.

    Die Sicherheitsregeln gelten für alle VNICs in diesem Subnetz.

Wenn Sie ein Subnetz erstellen, müssen Sie diesem mindestens eine Sicherheitsliste zuordnen. Dabei kann es sich entweder um die Standardsicherheitsliste des VCN oder um eine oder mehrere andere Sicherheitslisten handeln, die Sie bereits erstellt haben. Die vom Subnetz verwendeten Sicherheitslisten können Sie jederzeit ändern. Sie können Regeln in der Sicherheitsliste hinzufügen und entfernen. Eine Sicherheitsliste kann keine Regeln enthalten.

Weitere Informationen finden Sie unter Controlling Traffic with Security Lists.