Oracle Cloud Infrastructure-Dokumentation

Sicherheitslisten

Auf Compute Cloud@Customer fungiert eine Sicherheitsliste als virtuelle Firewall für eine Instanz. Mithilfe von Ingress- und Egress-Regeln wird angegeben, welche Traffictypen ein- und ausgehen dürfen.

Jede Sicherheitsliste wird auf VNIC-Ebene erzwungen. Sicherheitslisten werden jedoch auf Subnetzebene konfiguriert. Das bedeutet, dass alle VNICs in einem bestimmten Subnetz demselben Set von Sicherheitslisten unterliegen.

Die Sicherheitslisten gelten für eine bestimmte VNIC, unabhängig davon, ob sie mit einer anderen Instanz im VCN oder einem Host außerhalb des VCN kommunizieren. Mit jedem Subnetz können mehrere Sicherheitslisten verknüpft sein, und jede Liste kann mehrere Regeln enthalten.

Jedes VCN enthält eine Standardsicherheitsliste. Wenn Sie keine benutzerdefinierte Sicherheitsliste für ein Subnetz angeben, wird die Standardsicherheitsliste automatisch mit diesem Subnetz verwendet. Sie können Regeln in der Standardsicherheitsliste hinzufügen und entfernen. Es verfügt über ein anfängliches Set zustandsbehafteter Regeln, die so geändert werden sollten, dass nur eingehender Traffic von autorisierten Subnetzen zulässig ist. Die Standardregeln sind:

  • Zustandlicher Ingress: TCP-Traffic an Zielport 22 (SSH) von autorisierten Quell-IP-Adressen und einem beliebigen Quellport zulassen.

    Mit dieser Regel können Sie ein neues Cloud-Netzwerk und öffentliches Subnetz erstellen, eine Linux-Instanz erstellen und dann sofort mit SSH eine Verbindung zu dieser Instanz herstellen, ohne selbst Sicherheitslistenregeln schreiben zu müssen.

    Die Standardsicherheitsliste enthält keine Regel für den Remote Desktop Protocol-(RDP-)Zugriff. Wenn Sie Compute Cloud@Customer-Images verwenden, fügen Sie eine Regel für zustandslosen Ingress für TCP-Traffic auf Zielport 3389 von autorisierten Quell-IP-Adressen und allen Quellports hinzu.

  • Zustandlicher Ingress: ICMP-Traffic vom Typ 3 Code 4 von autorisierten Quell-IP-Adressen zulassen.

    Mit dieser Regel können Instanzen Path MTU Discovery-Fragmentierungsmeldungen empfangen.

  • Zustandsbehafteter Ingress: ICMP-Traffic vom Typ 3 (alle Codes) von Ihrem VCN-CIDR-Block zulassen.

    Mit dieser Regel können Instanzen Connectivity-Fehlermeldungen von anderen Instanzen innerhalb des VCN empfangen.

  • Zuständige Egress: Alle Traffics zulassen.

    Dadurch können Instanzen den Traffic jeder Art zu jedem Ziel initiieren. Dies bedeutet, dass Instanzen mit öffentlichen IP-Adressen mit jeder beliebigen Internet-IP-Adresse kommunizieren können, wenn für das VCN ein Internetgateway konfiguriert ist. Da Sicherheitsregeln für zustandsfähigen Traffic Verbindungstracking verwenden, wird der Antworttraffic unabhängig von Ingress-Regeln automatisch zugelassen.

Der allgemeine Prozess zum Arbeiten mit Sicherheitslisten läuft folgendermaßen ab:

  1. Erstellen Sie eine Sicherheitsliste.

  2. Fügen Sie der Sicherheitsliste Sicherheitsregeln hinzu.

  3. Verknüpfen Sie die Sicherheitsliste mit einem oder mehreren Subnetzen.

  4. Erstellen Sie Ressourcen, wie Compute-Instanzen, im Subnetz.

    Die Sicherheitsregeln gelten für alle VNICs in diesem Subnetz.

Wenn Sie ein Subnetz erstellen, müssen Sie diesem mindestens eine Sicherheitsliste zuordnen. Dabei kann es sich entweder um die VCN-Standardsicherheitsliste oder um eine oder mehrere andere Sicherheitslisten handeln, die Sie bereits erstellt haben. Sie können jederzeit ändern, welche Sicherheitslisten das Subnetz verwendet. Sie können Regeln in der Sicherheitsliste hinzufügen und entfernen. Es ist möglich, dass eine Sicherheitsliste keine Regeln enthält.

Weitere Informationen finden Sie unter Controlling Traffic with Security Lists.