Oracle Cloud Infrastructure-Dokumentation

Virtuelle Firewall

Auf Compute Cloud@Customer bietet der Networking-Service zwei Features einer virtuellen Firewall, die beide Sicherheitsregeln verwenden, um den Traffic auf Paketebene zu steuern: Sicherheitslisten und Netzwerksicherheitsgruppen (NSGs). Sie bieten verschiedene Möglichkeiten, Sicherheitsregeln auf eine Gruppe von virtuellen Netzwerkschnittstellenkarten (VNICs) anzuwenden.

  • Sicherheitslisten:

    Eine Sicherheitsliste definiert Sicherheitsregeln auf Subnetzebene. Das bedeutet, dass alle VNICs in einem bestimmten Subnetz denselben Regeln unterliegen. Jedes VCN enthält eine Standardsicherheit, die Standardregeln für den wesentlichen Traffic enthält. Die Standardsicherheitsliste wird automatisch mit allen Subnetzen verwendet, sofern keine benutzerdefinierte Sicherheitsliste angegeben ist. Mit einem Subnetz können bis zu fünf Sicherheitslisten verknüpft sein.

  • Netzwerksicherheitsgruppen (NSGs):

    Eine Netzwerksicherheitsgruppe definiert Sicherheitsregeln basierend auf der Mitgliedschaft. Die Sicherheitsregeln gelten für Ressourcen, die der NSG explizit hinzugefügt werden. Eine VNIC kann maximal zu fünf NSGs hinzugefügt werden. Eine NSG soll eine virtuelle Firewall für eine Gruppe von Cloud-Ressourcen mit demselben Sicherheitsstatus bereitstellen. Beispiel: Eine Gruppe von Instanzen, die dieselben Aufgaben ausführen und damit dieselben Ports verwenden müssen.

Oracle empfiehlt die Verwendung von NSGs anstelle von Sicherheitslisten, da NSGs die VCN-Subnetzarchitektur von Ihren Anforderungen an die Anwendungssicherheit trennen können. NSGs werden jedoch nur für bestimmte Services unterstützt. Je nach Ihren speziellen Sicherheitsanforderungen können sowohl Sicherheitslisten als auch NSGs zusammen verwendet werden.

Wenn Sie über Sicherheitsregeln verfügen, die Sie für alle VNICs in einem VCN durchsetzen möchten, ist die einfachste Lösung, die Regeln in eine Sicherheitsliste aufzunehmen und dann diese Sicherheitsliste mit allen Subnetzen im VCN zu verknüpfen. Auf diese Weise können Sie sicherstellen, dass die Regeln angewendet werden, unabhängig davon, wer in Ihrer Organisation eine VNIC im VCN erstellt, Sie können auch die erforderlichen Sicherheitsregeln zur VCN-Standardsicherheitsliste hinzufügen.

Wenn Sie Sicherheitslisten und Netzwerksicherheitsgruppen kombinieren möchten, ist das Set von Regeln, das für eine bestimmte VNIC gilt, die Einheit dieser Elemente:

  • Die Sicherheitsregeln in den Sicherheitslisten, die dem VNIC-Subnetz zugeordnet sind

  • Die Sicherheitsregeln in allen NSGs, in denen die VNIC enthalten ist

Ein Paket ist zulässig, wenn eine beliebige Regel in einer der relevanten Listen und Gruppen den Traffic zulässt oder wenn der Traffic Teil einer vorhandenen Verbindung ist, die aufgrund einer zustandsbehafteten Regel verfolgt wird.