Documentación de Oracle Cloud Infrastructure

Listas de seguridad

El servicio de Networking ofrece dos funciones de firewall virtual para controlar el tráfico en el nivel de paquete:

  • Listas de seguridad: cubiertas en este tema. Tipo original de firewall virtual ofrecido por el servicio de Networking.
  • Grupos del firewall de red: otro tipo de firewall virtual que recomendamos en las listas de seguridad. Consulte Grupos de seguridad de red.

Ambas funciones utilizan reglas de seguridad. Para obtener información importante sobre el funcionamiento de las reglas de seguridad y la comparación general de las listas de seguridad y los grupos de seguridad de red, consulte Reglas de seguridad.

Aspectos destacados

  • Las listas de seguridad actúan como firewalls virtuales para instancias de Compute y otros tipos de recursos. Una lista de seguridad se compone de un conjunto de reglas de seguridad de entrada y salida que se aplican a todas las VNIC de cualquier subred con la que esté asociada la lista de seguridad. Esto significa que todas las VNIC de una subred concreta están sujetas al mismo conjunto de listas de seguridad. Consulte Comparación de listas de seguridad y grupos de seguridad de red.
  • Las reglas de las listas de seguridad funcionan del mismo modo que las reglas de los grupos de seguridad de red. Para obtener más información sobre los parámetros de reglas, consulte Partes de una regla de seguridad.
  • Cada VCN incluye una lista de seguridad predeterminada con varias reglas también predeterminadas para el tráfico esencial. Si no especifica ninguna lista de seguridad personalizada para una subred, la lista de seguridad predeterminada se utiliza automáticamente con esa subred. Puede agregar y eliminar reglas de la lista de seguridad predeterminada.
  • Las listas de seguridad tienen límites diferentes e independientes en comparación con los grupos de seguridad de red. Consulte Comparación de listas de seguridad y grupos de seguridad de red.

Visión general de listas de seguridad

Una lista de seguridad actúa como un firewall virtual para una instancia, con reglas de entrada y salida que especifican los tipos de tráfico permitidos que entran en la instancia y salen de esta. Cada lista de seguridad se aplica en el nivel de VNIC. Sin embargo, las Listas de seguridad se configuran en el nivel de la subred, lo que significa que todas las VNIC de una subred están sujetas al mismo conjunto de las Listas de seguridad. Las listas de seguridad se aplican a un VNIC determinado, ya sea que se comunique con otra instancia de la VCN o un host fuera de la VCN.

Cada subred puede tener una serie de listas de seguridad asociadas a ella y cada lista puede tener muchas reglas (para obtener el número máximo, consulte Comparación entre listas de seguridad y grupos del sistema de seguridad). Se permite un paquete en cuestión si cualquier regla de las listas permite el tráfico (o si el tráfico es parte de una conexión existente de la que se está realizando un seguimiento) a menos que las listas contengan reglas con estado y sin estado que cubran el mismo tráfico. Para obtener más información, consulte Stateful Compared to Stateless Rules.

Las listas de seguridad son entidades regionales. Para conocer los límites relacionados con las listas de seguridad, consulte Comparación de listas de seguridad y grupos de seguridad de red.

Las listas de seguridad pueden controlar el tráfico de IPv4 e IPv6. Las direcciones IPv6 y las reglas de lista de seguridad relacionadas están soportadas en todas las regiones comerciales y gubernamentales. Para obtener más información, consulte Direcciones IPv6.

Consulte Límites de lista de seguridad y Solicitud de aumento del límite de servicio para obtener información relacionada con los límites.

Lista de seguridad por defecto

A diferencia del resto de listas, la lista de seguridad predeterminada viene con un conjunto inicial de reglas con estado. Recomendamos cambiar estas reglas para permitir solo el tráfico entrante desde subredes autorizadas relevantes para la región que aloja la VCN o la subred. Puede encontrar una lista de rangos de subred autorizados relevantes para cada región en https://docs.cloud.oracle.com/iaas/tools/public_ip_ranges.json.

  • Entrada con Estado: permita el tráfico TCP en el puerto de destino 22 (SSH) desde direcciones IP autorizadas de origen y cualquier puerto de origen. Esta regla facilita que cree una nueva red en la nube y una subred pública, cree una instancia de Linux y, a continuación, use de inmediato el SSH para conectarse a esa instancia sin que sea necesario que escriba las reglas de la lista del usuario.

    Importante

    La lista por defecto de seguridad no incluye ninguna regla que permita el acceso de Protocolo de escritorio remoto (RDP). Si utiliza imágenes deWindows, asegúrese a agregar una regla con estado para el tráfico TCP en el puerto 3389 de destino desde direcciones IP autorizadas y cualquier puerto del origen.

    Consulte Activación del acceso de RDP para obtener más información.

  • Entrada con estado: permita el tráfico ICMP de tipo 3 y código 4 desde direcciones IP autorizadas de origen. Esta regla permite a las instancias informáticas recibir mensajes que detectan la MTU de ruta.
  • Entrada con estado: permitir tráfico ICMP de tipo 3 (todos el código) desde un bloque CIDR de la VCN. Esta regla facilita que las instancias informáticas reciban mensajes de error en conectividad procedentes de otras instancias de la VCN.
  • Entrada con estado: permite todo el tráfico. Esto permite a las instancias iniciar el tráfico de cualquier tipo a cualquier destino. Tenga en cuenta que esto significa que las instancias con direcciones IP públicas pueden comunicarse con cualquier dirección IP de internet si la VCN tiene configurado un gateway de internet. Además, como las reglas de seguridad con estado utilizan el seguimiento de conexiones, se permite el tráfico de respuesta automáticamente, con independencia de las reglas de entrada. Para obtener más información, consulte Stateful Compared to Stateless Rules.

La lista de seguridad predeterminada no tiene ninguna regla sin estado. Sin embargo, siempre puede agregar o eliminar reglas de la lista de seguridad por defecto.

Si la VCN está activada para las direcciones IPv6, la lista por defecto de seguridad contiene algunas reglas por defecto para la tráfico IPv6. Para obtener más información, consulte Reglas de seguridad para el tráfico IPv6.

Activación de ping

Esta lista no incluye ninguna regla que permita solicitudes de ping. Si planea hacer ping a una instancia, consulte Reglas para gestionar paquetes UDP fragmentados.

Reglas de seguridad para el tráfico IPv6

Los grupos de seguridad de red y las listas de seguridad de la VCN soportan las reglas de seguridad IPv4 y IPv6. Por ejemplo, un grupo de seguridad de red o una lista de seguridad puede tener estas reglas de seguridad:

  • Regla para permitir el tráfico SSH desde el CIDR IPv4 de la red local
  • Regla para permitir el tráfico de ping desde el CIDR IPv4 de la red local
  • Regla para permitir el tráfico SSH desde el prefijo IPv6 de la red local
  • Regla para permitir el tráfico de ping desde el prefijo IPv6 de la red local

La lista de seguridad por defecto en una VCN con IPv6 activado incluye las reglas de IPv4 por defecto y las siguientes reglas de IPv6 por defecto:

  • Entrada con estado: permitir el tráfico TCP IPv6 en el puerto de destino 22 (SSH) desde origen ::/0 y cualquier puerto de origen. Esta regla facilita la creación de una nueva VCN con una subred pública y un gateway de internet, la creación de una instancia de Linux, la adición de un IPv6 con acceso a internet activado y la conexión inmediata con SSH a esa instancia sin necesidad de que tenga que escribir ninguna regla de seguridad.

    Importante

    La lista de seguridad por defecto no incluye ninguna regla que permita el acceso de RDP (protocolo de escritorio remoto). Si utiliza imágenes de Windows, agregue una regla de entrada con estado para el tráfico TCP en el puerto de destino 3389 desde el origen ::/0 y cualquier puerto de origen.

    Consulte Activación del acceso de RDP para obtener más información.

  • Entrada con estado: permitir el tipo de tráfico ICMPv6 2 código 0 (paquete demasiado grande) desde origen ::/0 y cualquier puerto de origen. Esta regla permite a las instancias recibir mensajes de fragmentación del descubrimiento de la MTU de la ruta.
  • Salida con estado: si selecciona que se permita todo IPv6 tráfico permite a las instancias iniciar el tráfico IPv6 de cualquier tipo a cualquier destino. Tenga en cuenta que las instancias con IPv6 con acceso a internet activado pueden comunicarse con cualquier dirección IPv6 de internet si la VCN tiene un gateway de internet configurado. Además, como las reglas de seguridad con estado utilizan el seguimiento de conexiones, se permite el tráfico de respuesta automáticamente, con independencia de las reglas de entrada. Para obtener más información, consulte Stateful Compared to Stateless Rules.