Listas de seguridad

El servicio de Networking ofrece dos funciones de firewall virtual para controlar el tráfico en el nivel de paquete:

  • Listas de seguridad: cubiertas en este tema. Tipo original de firewall virtual ofrecido por el servicio de Networking.
  • Grupos de seguridad de red: otro tipo de firewall virtual que Oracle recomienda en las listas de seguridad. Consulte Grupos de seguridad de red.

Ambas funciones utilizan reglas de seguridad. Para obtener información importante sobre el funcionamiento de las reglas de seguridad y la comparación general de las listas de seguridad y los grupos de seguridad de red, consulte Reglas de seguridad.

Aspectos destacados

  • Las listas de seguridad actúan como firewalls virtuales para las instancias informáticas y otros tipos de recursos. Una lista de seguridad se compone de un conjunto de reglas de seguridad de entrada y salida que se aplican a todas las VNIC de cualquier subred con la que esté asociada la lista de seguridad. Esto significa que todas las VNIC de una subred determinada están sujetas al mismo conjunto de listas de seguridad. Consulte Comparación de listas de seguridad y grupos de seguridad de red.
  • Las reglas de las listas de seguridad funcionan del mismo modo que las reglas de los grupos de seguridad de red. Para obtener más información sobre los parámetros de reglas, consulte Partes de una regla de seguridad.
  • Cada VCN incluye una lista de seguridad predeterminada con varias reglas también predeterminadas para el tráfico esencial. Si no especifica ninguna lista de seguridad personalizada para una subred, la lista de seguridad predeterminada se utiliza automáticamente con esa subred. Puede agregar y eliminar reglas de la lista de seguridad predeterminada.
  • Las listas de seguridad tienen límites diferentes e independientes en comparación con los grupos de seguridad de red. Consulte Comparación de listas de seguridad y grupos de seguridad de red.

Visión general de listas de seguridad

Una lista de seguridad actúa como un firewall virtual para una instancia, con reglas de entrada y salida que especifican los tipos de tráfico permitidos que entran en la instancia y salen de esta. Cada lista de seguridad se aplica en el nivel de VNIC. Sin embargo, las listas de seguridad se configuran en el nivel de la subred, lo que significa que todas las VNIC de una subred específica están sujetas al mismo conjunto de las listas de seguridad. Las listas de seguridad se aplican a una VNIC determinada, ya sea que se comunique con otra instancia de la VCN o un host fuera de la VCN.

Cada subred puede tener varias listas de seguridad asociadas a ella y cada lista puede tener varias reglas (para conocer el número máximo, consulte Comparación de listas de seguridad y grupos de seguridad de red). Se permite un paquete en cuestión si alguna regla de las listas permite el tráfico (o si el tráfico forma parte de una conexión existente cuyo seguimiento se está realizando). Hay una excepción si las listas vienen a contener reglas con estado y sin estado que cubren el mismo tráfico. Para obtener más información, consulte Reglas con estado frente a sin estado.

Las listas de seguridad son entidades regionales. Para conocer los límites relacionados con las listas de seguridad, consulte Comparación de listas de seguridad y grupos de seguridad de red.

Las listas de seguridad pueden controlar el tráfico de IPv4 e IPv6. Las direcciones IPv6 y las reglas de lista de seguridad relacionadas están soportadas en todas las regiones comerciales y gubernamentales. Para obtener más información, consulte Direcciones IPv6.

Consulte Límites de lista de seguridad y Solicitud de aumento del límite de servicio para obtener información relacionada con los límites.

Lista de seguridad por defecto

A diferencia de otras listas de seguridad, la lista de seguridad por defecto incluye un juego inicial de reglas con estado, que en la mayoría de los casos se deben cambiar para permitir solo el tráfico entrante desde subredes autorizadas relevantes para la región que aloja esa VCN o subred. Puede encontrar una lista de rangos de subred autorizados relevantes para cada región en https://docs.cloud.oracle.com/iaas/tools/public_ip_ranges.json.

  • Entrada con estado: permita el tráfico TCP en el puerto de destino 22 (SSH) desde direcciones IP de origen autorizadas y cualquier puerto de origen. Esta regla facilita la creación de una nueva red en la nube y una subred pública, el inicio de una instancia de Linux y, a continuación, usar de inmediato el SSH para conectarse a esa instancia sin que el usuario tenga que escribir las reglas de la lista de seguridad.

    Importante

    La lista de seguridad por defecto no incluye ninguna regla que permita el acceso de RDP (protocolo de escritorio remoto). Si utiliza imágenes de Windows, asegúrese de agregar una regla de entrada con estado para el tráfico TCP en el puerto de destino 3389 desde direcciones IP de origen autorizadas y cualquier puerto de origen.

    Consulte Activación del acceso de RDP para obtener más información.

  • Entrada con estado: permita el tráfico ICMP del tipo 3 y código 4 desde direcciones IP de origen autorizadas. Esta regla permite a las instancias recibir mensajes de fragmentación del descubrimiento de la MTU de la ruta.
  • Entrada con estado: permitir tráfico ICMP del tipo 3 (todos los códigos) desde el bloque de CIDR de la VCN. Esta regla facilita que las instancias reciban mensajes de error de conectividad procedentes de otras instancias de la VCN.
  • Entrada con estado: permite todo el tráfico. Esto permite a las instancias iniciar el tráfico de cualquier tipo a cualquier destino. Tenga en cuenta que esto significa que las instancias con direcciones IP públicas pueden comunicarse con cualquier dirección IP de internet si la VCN tiene configurado un gateway de internet. Además, como las reglas de seguridad con estado utilizan el seguimiento de conexiones, se permite el tráfico de respuesta automáticamente, con independencia de las reglas de entrada. Para obtener más información, consulte Reglas con estado frente a sin estado.

La lista de seguridad predeterminada no tiene ninguna regla sin estado. Sin embargo, siempre puede agregar o eliminar reglas de la lista de seguridad por defecto.

Si su VCN está activada para direcciones IPv6, la lista de seguridad por defecto tendrá algunas reglas por defecto para el tráfico IPv6. Para obtener más información, consulte Reglas de seguridad para el tráfico IPv6.

Activación de ping

La lista de seguridad predeterminada no incluye ninguna regla que permita solicitudes de ping. Si planea hacer ping a una instancia, consulte Reglas para gestionar paquetes UDP fragmentados.

Reglas de seguridad para el tráfico IPv6

Al igual que las tablas de rutas, los grupos de seguridad de red y las listas de seguridad de la VCN soportan IPv4 y IPv6 las reglas de seguridad. Por ejemplo, un grupo de seguridad de red o una lista de seguridad puede tener estas reglas de seguridad:

  • Regla para permitir el tráfico SSH desde el CIDR IPv4 de la red local
  • Regla para permitir el tráfico de ping desde el CIDR IPv4 de la red local
  • Regla para permitir el tráfico SSH desde el prefijo IPv6 de la red local
  • Regla para permitir el tráfico de ping desde el prefijo IPv6 de la red local

La lista de seguridad por defecto en una VCN con IPv6 activado incluye las reglas de IPv4 por defecto y las siguientes reglas de IPv6 por defecto:

  • Entrada con estado: permitir el tráfico TCP IPv6 en el puerto de destino 22 (SSH) desde origen ::/0 y cualquier puerto de origen. Esta regla facilita la creación de una nueva VCN con una subred pública y un gateway de internet, la creación de una instancia de Linux, la adición de un IPv6 con acceso a internet activado y la conexión inmediata con SSH a esa instancia sin necesidad de que tenga que escribir ninguna regla de seguridad.

    Importante

    La lista de seguridad por defecto no incluye ninguna regla que permita el acceso de RDP (protocolo de escritorio remoto). Si utiliza imágenes de Windows, agregue una regla de entrada con estado para el tráfico TCP en el puerto de destino 3389 desde el origen ::/0 y cualquier puerto de origen.

    Consulte Activación del acceso de RDP para obtener más información.

  • Entrada con estado: permitir el tipo de tráfico ICMPv6 2 código 0 (paquete demasiado grande) desde origen ::/0 y cualquier puerto de origen. Esta regla permite a las instancias recibir mensajes de fragmentación del descubrimiento de la MTU de la ruta.
  • Salida con estado: si selecciona que se permita todo el tráfico IPv6, las instancias podrán iniciar el tráfico IPv6 de cualquier tipo a cualquier destino. Tenga en cuenta que las instancias con IPv6 con acceso a internet activado pueden comunicarse con cualquier dirección IPv6 de internet si la VCN tiene un gateway de internet configurado. Además, como las reglas de seguridad con estado utilizan el seguimiento de conexiones, se permite el tráfico de respuesta automáticamente, con independencia de las reglas de entrada. Para obtener más información, consulte Reglas con estado frente a sin estado.