Documentación de Oracle Cloud Infrastructure

Firewall virtual

En Compute Cloud@Customer, el servicio de redes ofrece dos funciones de firewall virtual que utilizan reglas de seguridad para controlar el tráfico en el nivel de paquetes: listas de seguridad y grupos de seguridad de red (NSG). Ofrecen diferentes formas de aplicar reglas para la seguridad a un conjunto de tarjetas de interfaz de red virtual (VNIC).

  • Listas de seguridad:

    Una lista de seguridad define las reglas de seguridad en el nivel de subred, lo que significa que todas las VNIC de una subred determinada están sujetas a las mismas reglas. Cada VCN incluye una seguridad por defecto que contiene reglas por defecto para el tráfico esencial. La lista de seguridad por defecto se utiliza automáticamente con todas las subredes, a menos que se especifique una lista de seguridad personalizada. Una subred puede tener hasta cinco listas de seguridad asociadas.

  • Grupos de seguridad de red (NSG):

    Un grupo de seguridad de red define las reglas de seguridad según la pertenencia. Sus reglas de seguridad se aplican a los recursos que se agregan explícitamente al NSG. Se puede agregar una VNIC a un máximo de cinco NSG. Un NSG está diseñado para proporcionar un firewall virtual para un conjunto de recursos en la nube con la misma estrategia de seguridad. Por ejemplo, un grupo de instancias que realizan las mismas tareas y, por lo tanto, todas deben utilizar el mismo conjunto de puertos.

Oracle recomienda utilizar NSG en lugar de listas de seguridad, porque los NSG permiten separar la Arquitectura de Subred de la VCN de los Requisitos de Seguridad de la Aplicación. Sin embargo, los NSG sólo se admiten para servicios específicos. Es posible utilizar tanto listas de seguridad como NSG juntos, según sus necesidades de seguridad particulares.

Si tiene reglas del sistema de seguridad que desea aplicar para todos los VNIC de una VCN, la solución más sencilla consiste en colocar las reglas en una sola lista del sistema de seguridad y, a continuación, asociar esa lista del sistema a todas los subredes de la VCN. De esta manera, puede garantizar la aplicación de las reglas, independientemente de quién en su organización cree una VNIC en la VCN. También puede agregar las reglas de seguridad necesarias a la lista de seguridad por defecto de la VCN.

Si decide combinar listas, listas y grupos, de seguridad, el conjunto de reglas que se aplica a una VNIC concreta es la unión de estos elementos:

  • Reglas de seguridad de la lista de seguridad asociadas a la subred del VNIC

  • Las reglas de seguridad de todos los NSG en los que se encuentra la VNIC

Se permite un paquete en cuestión si cualquier regla de cualquiera de las listas y grupos relevantes permite el tráfico o si el tráfico es parte de una conexión existente de la que se está realizando un seguimiento debido a una regla con estado.