Sicherheitsregeln für das DB-System

In diesem Artikel werden die Sicherheitsregeln für das DB-System aufgelistet. Sicherheitsregeln steuern, welche Arten von Traffic ein- und ausgehend auf den Compute Nodes des DB-Systems zulässig sind. Die Regeln sind in zwei Abschnitte unterteilt.

Weitere Informationen zu Sicherheitsregeln finden Sie unter Sicherheitsregeln. Weitere Informationen zu den verschiedenen Möglichkeiten, diese Regeln zu implementieren, finden Sie unter Möglichkeiten zum Implementieren der Sicherheitsregeln.

Hinweis:

Instanzen, auf denen von Oracle bereitgestellte DB-Systemimages ausgeführt werden, verfügen auch über Firewallregeln, die den Zugriff auf die Instanz kontrollieren. Stellen Sie sicher, dass die Sicherheitsregeln und Firewallregeln der Instanz korrekt festgelegt sind. Siehe auch Ports auf dem DB-System öffnen.

Verwandte Themen

Allgemeine Regeln für grundlegende Konnektivität

Die folgenden Abschnitte enthalten verschiedene allgemeine Regeln, die die grundlegende Konnektivität für Hosts im VCN ermöglichen.

Wenn Sie Sicherheitslisten zum Implementieren der Sicherheitsregeln verwenden, beachten Sie, dass die folgenden Regeln standardmäßig in der Standardsicherheitsliste enthalten sind. Aktualisieren oder ersetzen Sie die Liste entsprechend Ihren spezifischen Sicherheitsanforderungen. Die beiden ICMP-Regeln (allgemeine Ingress-Regeln 2 und 3) sind für die korrekte Funktion des Netzwerktraffics innerhalb der Oracle Cloud Infrastructure-Umgebung erforderlich. Passen Sie die allgemeine Ingress-Regel 1 (SSH-Regel) und die allgemeine Egress-Regel 1 an, damit nur Traffic zu und von Hosts zulässig ist, die mit Ressourcen im VCN kommunizieren müssen.

Weitere Informationen zur Standardsicherheitsliste finden Sie unter Sicherheitslisten.

Allgemeine Ingress-Regel 1: Lässt SSH-Traffic von überall zu

  • Zustandslos: Nein (alle Regeln müssen zustandsbehaftet sein)
  • Quelltyp: CIDR
  • Quell-CIDR: 0.0.0.0/0 (IPv4), ::/0 (IPv6)
  • IP-Protokoll: TCP
  • Quellportbereich: Alle
  • Zielportbereich: 22

Hinweis:

IPv6-CIDR ist nur erforderlich, wenn Sie die IPv6-Adresse für die Verbindung mit SSH verwenden möchten.

Allgemeine Ingress-Regel 2: Lässt Nachrichten zur Pfad-MTU-Discovery-Fragmentierung zu

Mit dieser Regel können Hosts im VCN Nachrichten zur Pfad-MTU-Discovery-Fragmentierung empfangen. Ohne Zugriff auf diese Nachrichten können Hosts im VCN Probleme bei der Kommunikation mit Hosts außerhalb des VCN haben.

  • Zustandslos: Nein (alle Regeln müssen zustandsbehaftet sein)
  • Quelltyp: CIDR
  • Quell-CIDR: 0.0.0.0/0 (IPv4), ::/0 (IPv6)
  • IP-Protokoll: ICMP
  • Typ: 3
  • Code: 4

Allgemeine Ingress-Regel 3: Lässt Konnektivitätsfehlermeldungen innerhalb des VCN zu

Mit dieser Regel können die Hosts im VCN Konnektivitätsfehlermeldungen voneinander empfangen.

  • Zustandslos: Nein (alle Regeln müssen zustandsbehaftet sein)
  • Quelltyp: CIDR
  • Quell-CIDR: Das CIDR Ihres VCN
  • IP-Protokoll: ICMP
  • Typ: Alle
  • Code: Alle

Allgemeine Egress-Regel 1: Lässt den gesamten Egress-Traffic zu

  • Zustandslos: Nein (alle Regeln müssen zustandsbehaftet sein)
  • Zieltyp: CIDR
  • Ziel-CIDR: 0.0.0.0/0 (IPv4), ::/0 (IPv6)
  • IP-Protokoll: Alle

Hinweis:

  • IPv6-Ziel-CIDR ist nur für die ausgehende Kommunikation mit IPv6-Netzwerken erforderlich.
  • Ziel-CIDR kann eingeschränkt werden.

Benutzerdefinierte Sicherheitsregeln

Die folgenden Regeln sind für die Funktionalität des DB-Systems erforderlich.

Hinweis:

Die benutzerdefinierten Ingress-Regeln 1 und 2 gelten nur für Verbindungen, die innerhalb des VCN initiiert werden. Wenn Sie einen Client außerhalb des VCN verwenden, empfiehlt Oracle, zwei zusätzliche ähnliche Regeln einzurichten, bei denen Quell-CIDR stattdessen auf die öffentliche IP-Adresse des Clients gesetzt ist.

Benutzerdefinierte Ingress-Regel 1: Lässt ONS- und FAN-Traffic aus dem VCN zu

Diese Regel wird empfohlen und ermöglicht, dass Oracle Notification Services (ONS) über Fast Application Notification-(FAN-)Ereignisse kommunizieren kann.

  • Zustandslos: Nein (alle Regeln müssen zustandsbehaftet sein)
  • Quelltyp: CIDR
  • Quell-CIDR: Das CIDR des VCN IPv4 und IPv6
  • IP-Protokoll: TCP
  • Quellportbereich: Alle
  • Zielportbereich: 6200
  • Beschreibung: Eine optionale Beschreibung der Regel.

Benutzerdefinierte Ingress-Regel 2: Lässt SQL-*NET-Traffic aus dem VCN zu

Diese Regel gilt für SQL*NET-Traffic und ist nur erforderlich, wenn Sie Clientverbindungen zur Datenbank aktivieren müssen.

  • Zustandslos: Nein (alle Regeln müssen zustandsbehaftet sein)
  • Quelltyp: CIDR
  • Quell-CIDR: Das CIDR des VCN IPv4 und IPv6
  • IP-Protokoll: TCP
  • Quellportbereich: Alle
  • Zielportbereich: 1521
  • Beschreibung: Eine optionale Beschreibung der Regel.

Benutzerdefinierte Egress-Regel 1: Lässt ausgehenden SSH-Zugriff zu

Diese Regel ermöglicht SSH-Zugriff zwischen Knoten in einem DB-System mit 2 Knoten. Die Regel ist bei der allgemeinen Egress-Regel unter Allgemeine Regeln für grundlegende Konnektivität (und in der Standardsicherheitsliste) redundant. Sie ist optional, wird jedoch für den Fall empfohlen, dass die allgemeine Regel (oder die Standardsicherheitsliste) versehentlich geändert wird.

  • Zustandslos: Nein (alle Regeln müssen zustandsbehaftet sein)
  • Zieltyp: CIDR
  • Ziel-CIDR: 0.0.0.0/0 (IPv4), ::/0 (IPv6)
  • IP-Protokoll: TCP
  • Quellportbereich: Alle
  • Zielportbereich: 22
  • Beschreibung: Eine optionale Beschreibung der Regel.

Benutzerdefinierte Egress-Regel 2: Zugriff auf Oracle Services Network zulassen

Mit dieser Regel kann das DB-System mit den Oracle-Services (für öffentliches Subnetz mit Internetgateway) oder mit dem Oracle Services Network kommunizieren, das alle Oracle-Services (für privates Subnetz mit Servicegateway) enthält. Die Regel ist bei der allgemeinen Egress-Regel unter Allgemeine Regeln für grundlegende Konnektivität (und in der Standardsicherheitsliste) redundant. Sie ist optional, wird jedoch für den Fall empfohlen, dass die allgemeine Regel (oder die Standardsicherheitsliste) versehentlich geändert wird. OCI-Services kommunizieren nur mit IPv4.

  • Zustandslos: Nein (alle Regeln müssen zustandsbehaftet sein)
  • Zieltyp: Service
  • Zielservice:
    • Wenn Sie das öffentliche Subnetz IPv4 (mit Internetgateway) verwenden, verwenden Sie das CIDR 0.0.0.0/0
    • Wenn Sie das private IPv4-Subnetz (mit Servicegateway) verwenden, verwenden Sie das CIDR-Label Alle <region>-Services in Oracle Services Network.
  • IP-Protokoll: TCP
  • Quellportbereich: Alle
  • Zielportbereich: 443 (HTTPS)
  • Beschreibung: Eine optionale Beschreibung der Regel.

Weitere Informationen zu Networking finden Sie unter Networking - Überblick.

Möglichkeiten zum Implementieren der Sicherheitsregeln

Der Networking-Service bietet zwei Möglichkeiten zum Implementieren von Sicherheitsregeln im VCN:

Einen Vergleich zwischen Sicherheitslisten und Netzwerksicherheitsgruppen finden Sie unter Sicherheitsregeln.

Netzwerksicherheitsgruppen verwenden

Wenn Sie Netzwerksicherheitsgruppen (NSGs) verwenden, befolgen Sie diesen empfohlenen Prozess:

  1. Erstellen Sie eine Netzwerksicherheitsgruppe für DB-Systeme. Fügen Sie dieser NSG die folgenden Sicherheitsregeln hinzu:
    • Die Regeln, die unter Allgemeine Regeln für grundlegende Konnektivität aufgeführt sind
    • Die Regeln, die unter Benutzerdefinierte Sicherheitsregeln aufgeführt sind
  2. Wenn Datenbankadministratoren DB-Systeme erstellen, müssen sie verschiedene Netzwerkkomponenten auswählen (z.B. das zu verwendende VCN und Subnetz). Sie können auch auswählen, welche NSG oder NSGs verwendet werden sollen. Stellen Sie sicher, dass die von Ihnen erstellte NSG ausgewählt wird.

Stattdessen können Sie eine NSG für die allgemeinen Regeln und eine separate NSG für die benutzerdefinierten Regeln erstellen. Wenn der Datenbankadministrator dann festlegt, welche NSGs für das DB-System verwendet werden sollen, stellen Sie sicher, dass beide NSGs ausgewählt werden.

Sicherheitslisten verwenden

Wenn Sie Sicherheitslisten verwenden, befolgen Sie diesen empfohlenen Prozess:

  1. Konfigurieren Sie das Subnetz so, dass die erforderlichen Sicherheitsregeln verwendet werden:
    1. Erstellen Sie eine benutzerdefinierte Sicherheitsliste für das Subnetz, und fügen Sie die Regeln hinzu, die in Benutzerdefinierte Sicherheitsregeln aufgeführt sind.
    2. Verknüpfen Sie die folgenden beiden Sicherheitslisten mit dem Subnetz:
      • Standardsicherheitsliste des VCN mit allen Standardregeln. Diese ist automatisch im VCN enthalten.
      • Die neue benutzerdefinierte Sicherheitsliste, die Sie für das Subnetz erstellt haben.
  2. Wenn der Datenbankadministrator das DB-System später erstellt, muss er verschiedene Netzwerkkomponenten auswählen. Wenn er das Subnetz auswählt, das Sie bereits erstellt und konfiguriert haben, werden die Sicherheitsregeln für die im Subnetz erstellten Compute Nodes automatisch durchgesetzt.

Achtung:

Entfernen Sie die Standard-Egress-Regel nicht aus der Standardsicherheitsliste. Falls Sie sie doch entfernen, nehmen Sie stattdessen die folgende Ersatz-Egress-Regel in die benutzerdefinierte Sicherheitsliste des Subnetzes auf:
  • Zustandslos: Nein (alle Regeln müssen zustandsbehaftet sein)
  • Zieltyp: CIDR
  • Ziel-CIDR: 0.0.0.0/0
  • IP-Protokoll: Alle